Il malware Horabot prende di mira le vittime latinoamericane

Dalla fine del 2020, le persone di lingua spagnola in America Latina hanno affrontato una nuova forma di malware nota come Horabot. Questo malware botnet consente a un attore della minaccia di assumere il controllo della casella di posta di Outlook di una vittima, estrarre gli indirizzi e-mail dai propri contatti e inviare e-mail di phishing con allegati HTML dannosi a tutti gli indirizzi nella casella di posta della vittima. Inoltre, il programma botnet fornisce un trojan finanziario basato su Windows e uno strumento antispam, che vengono utilizzati per raccogliere credenziali bancarie online e compromettere Gmail, Outlook e Yahoo! account webmail allo scopo di inviare e-mail di spam.

Secondo Chetan Raghuprasad, ricercatore di Cisco Talos, la maggior parte delle infezioni è stata riscontrata in Messico, con un numero minore di vittime identificate in Uruguay, Brasile, Venezuela, Argentina, Guatemala e Panama. Si ritiene che l'autore della minaccia responsabile di questa campagna abbia sede in Brasile.

La campagna si rivolge principalmente agli utenti nei settori della contabilità, dell'edilizia e dell'ingegneria, della distribuzione all'ingrosso e degli investimenti, sebbene si sospetti che anche altri settori della regione possano essere interessati.

Vettore di attacco e modalità di funzionamento

L'attacco inizia con email di phishing che allettano i destinatari con esche a tema fiscale, incoraggiandoli ad aprire un allegato HTML. Questo allegato contiene un collegamento che porta a un archivio RAR. L'apertura dell'archivio attiva l'esecuzione di uno script di downloader di PowerShell, che recupera un file ZIP contenente i payload principali da un server remoto e riavvia il computer della vittima.

Il riavvio del sistema funge da punto di lancio per il trojan bancario e lo strumento di spam, consentendo all'autore della minaccia di rubare dati, registrare sequenze di tasti, acquisire schermate e inviare ulteriori e-mail di phishing ai contatti della vittima.

Chetan Raghuprasad descrive questa campagna come un attacco in più fasi che inizia con un'e-mail di phishing e procede con la consegna di payload utilizzando uno script di downloader di PowerShell e il sideload di eseguibili legittimi.

Il trojan bancario, scritto nel linguaggio di programmazione Delphi, è una DLL di Windows a 32 bit che condivide somiglianze con altre famiglie di malware brasiliane come Mekotio e Casbaneiro.

D'altra parte, Horabot è un programma botnet di phishing basato su PowerShell progettato specificamente per Outlook. Propaga l'infezione inviando e-mail di phishing a tutti gli indirizzi e-mail trovati nella casella di posta della vittima e il suo scopo è nascondere l'infrastruttura di phishing dell'autore della minaccia.

Questa divulgazione arriva poco dopo che SentinelOne ha attribuito una campagna prolungata rivolta a oltre 30 istituti finanziari portoghesi a uno sconosciuto attore di minacce brasiliano che utilizzava malware per il furto di informazioni dal 2021.

Inoltre, è stato scoperto un nuovo trojan bancario Android chiamato PixBankBot, che sfrutta i servizi di accessibilità del sistema operativo per effettuare trasferimenti di denaro fraudolenti tramite la piattaforma di pagamenti brasiliana PIX. PixBankBot è l'ultimo di una serie di malware mirati specificamente alle banche brasiliane, unendosi ai ranghi di BrasDex, PixPirate e GoatRAT, che sono stati osservati negli ultimi mesi.