Horabot Malware cible les victimes latino-américaines

Depuis fin 2020, les hispanophones d'Amérique latine sont confrontés à une nouvelle forme de malware appelée Horabot. Ce malware botnet permet à un pirate de prendre le contrôle de la boîte aux lettres Outlook d'une victime, d'extraire des adresses e-mail de ses contacts et d'envoyer des e-mails de phishing avec des pièces jointes HTML malveillantes à toutes les adresses de la boîte aux lettres de la victime. De plus, le programme de botnet fournit un cheval de Troie financier basé sur Windows et un outil anti-spam, qui sont utilisés pour collecter des informations d'identification bancaires en ligne et compromettre Gmail, Outlook et Yahoo! comptes de messagerie Web dans le but d'envoyer des spams.

Selon le chercheur de Cisco Talos, Chetan Raghuprasad, la majorité des infections ont été trouvées au Mexique, avec un plus petit nombre de victimes identifiées en Uruguay, au Brésil, au Venezuela, en Argentine, au Guatemala et au Panama. L'acteur menaçant responsable de cette campagne serait basé au Brésil.

La campagne cible principalement les utilisateurs des secteurs de la comptabilité, de la construction et de l'ingénierie, de la distribution en gros et de l'investissement, bien que l'on soupçonne que d'autres industries de la région pourraient également être touchées.

Vecteur d'attaque et mode de fonctionnement

L'attaque commence par des e-mails de phishing qui attirent les destinataires avec des leurres à thème fiscal, les encourageant à ouvrir une pièce jointe HTML. Cette pièce jointe contient un lien qui mène à une archive RAR. L'ouverture de l'archive déclenche l'exécution d'un script de téléchargement PowerShell, qui récupère un fichier ZIP contenant les principales charges utiles à partir d'un serveur distant et redémarre la machine de la victime.

Le redémarrage du système sert de point de lancement pour le cheval de Troie bancaire et l'outil de spam, permettant à l'auteur de la menace de voler des données, d'enregistrer des frappes au clavier, de capturer des captures d'écran et d'envoyer des e-mails de phishing supplémentaires aux contacts de la victime.

Chetan Raghuprasad décrit cette campagne comme une attaque en plusieurs étapes qui commence par un e-mail de phishing et procède à la livraison de charges utiles à l'aide d'un script de téléchargement PowerShell et au chargement latéral d'exécutables légitimes.

Le cheval de Troie bancaire, écrit dans le langage de programmation Delphi, est une DLL Windows 32 bits qui partage des similitudes avec d'autres familles de logiciels malveillants brésiliens comme Mekotio et Casbaneiro.

D'autre part, Horabot est un programme de botnet de phishing basé sur PowerShell spécialement conçu pour Outlook. Il propage l'infection en envoyant des e-mails de phishing à toutes les adresses e-mail trouvées dans la boîte aux lettres de la victime, et son but est de dissimuler l'infrastructure de phishing de l'auteur de la menace.

Cette divulgation intervient peu de temps après que SentinelOne a attribué une campagne prolongée ciblant plus de 30 institutions financières portugaises à un acteur menaçant brésilien inconnu utilisant des logiciels malveillants voleurs d'informations depuis 2021.

De plus, un nouveau cheval de Troie bancaire Android appelé PixBankBot a été découvert, qui exploite les services d'accessibilité du système d'exploitation pour effectuer des transferts d'argent frauduleux via la plateforme de paiement PIX brésilienne. PixBankBot est le dernier d'une série de logiciels malveillants ciblant spécifiquement les banques brésiliennes, rejoignant les rangs de BrasDex, PixPirate et GoatRAT, qui ont été observés ces derniers mois.