Horabot-Malware zielt auf lateinamerikanische Opfer ab

Seit Ende 2020 sind spanischsprachige Menschen in Lateinamerika mit einer neuen Form von Malware namens Horabot konfrontiert. Diese Botnet-Malware ermöglicht es einem Bedrohungsakteur, die Kontrolle über das Outlook-Postfach eines Opfers zu übernehmen, E-Mail-Adressen aus seinen Kontakten zu extrahieren und Phishing-E-Mails mit bösartigen HTML-Anhängen an alle Adressen im Postfach des Opfers zu senden. Darüber hinaus liefert das Botnet-Programm einen Windows-basierten Finanztrojaner und ein Spam-Tool, mit denen Online-Banking-Zugangsdaten erfasst und Gmail, Outlook und Yahoo! kompromittiert werden. Webmail-Konten zum Zweck des Versands von Spam-E-Mails.

Laut Chetan Raghuprasad, Forscher bei Cisco Talos, wurden die meisten Infektionen in Mexiko festgestellt, während in Uruguay, Brasilien, Venezuela, Argentinien, Guatemala und Panama eine geringere Anzahl von Opfern identifiziert wurde. Es wird angenommen, dass der für diese Kampagne verantwortliche Bedrohungsakteur in Brasilien ansässig ist.

Die Kampagne richtet sich in erster Linie an Nutzer in den Bereichen Buchhaltung, Bau- und Ingenieurwesen, Großhandel und Investitionen, obwohl vermutet wird, dass auch andere Branchen in der Region betroffen sein könnten.

Angriffsvektor und Wirkungsweise

Der Angriff beginnt mit Phishing-E-Mails, die Empfänger mit steuerbezogenen Lockmitteln dazu verleiten, einen HTML-Anhang zu öffnen. Dieser Anhang enthält einen Link, der zu einem RAR-Archiv führt. Das Öffnen des Archivs löst die Ausführung eines PowerShell-Downloader-Skripts aus, das eine ZIP-Datei mit den Hauptnutzdaten von einem Remote-Server abruft und den Computer des Opfers neu startet.

Der Systemneustart dient als Startpunkt für den Banking-Trojaner und das Spam-Tool und ermöglicht es dem Bedrohungsakteur, Daten zu stehlen, Tastatureingaben aufzuzeichnen, Screenshots zu machen und zusätzliche Phishing-E-Mails an die Kontakte des Opfers zu senden.

Chetan Raghuprasad beschreibt diese Kampagne als einen mehrstufigen Angriff, der mit einer Phishing-E-Mail beginnt und dann mithilfe eines PowerShell-Downloader-Skripts und dem Querladen legitimer ausführbarer Dateien Nutzlasten übermittelt.

Der in der Programmiersprache Delphi geschriebene Banking-Trojaner ist eine 32-Bit-Windows-DLL, die Ähnlichkeiten mit anderen brasilianischen Malware-Familien wie Mekotio und Casbaneiro aufweist.

Andererseits ist Horabot ein PowerShell-basiertes Phishing-Botnet-Programm, das speziell für Outlook entwickelt wurde. Es verbreitet die Infektion, indem es Phishing-E-Mails an alle im Postfach des Opfers gefundenen E-Mail-Adressen sendet. Sein Zweck besteht darin, die Phishing-Infrastruktur des Bedrohungsakteurs zu verschleiern.

Diese Enthüllung erfolgt kurz nachdem SentinelOne eine langwierige Kampagne gegen über 30 portugiesische Finanzinstitute einem unbekannten brasilianischen Bedrohungsakteur zugeschrieben hat, der seit 2021 informationsstehlende Malware einsetzt.

Darüber hinaus wurde ein neuer Android-Banking-Trojaner namens PixBankBot entdeckt, der die Barrierefreiheitsdienste des Betriebssystems ausnutzt, um betrügerische Geldüberweisungen über die brasilianische Zahlungsplattform PIX durchzuführen. PixBankBot ist die neueste in einer Reihe von Malware, die speziell auf brasilianische Banken abzielt, und reiht sich in die Reihe von BrasDex, PixPirate und GoatRAT ein, die in den letzten Monaten beobachtet wurden.