Horabot Malware retter seg mot latinamerikanske ofre

Siden slutten av 2020 har spansktalende individer i Latin-Amerika møtt en ny form for skadelig programvare kjent som Horabot. Denne botnett-skadevare lar en trusselaktør ta kontroll over et offers Outlook-postkasse, trekke ut e-postadresser fra kontaktene deres og sende phishing-e-poster med ondsinnede HTML-vedlegg til alle adressene i offerets postkasse. I tillegg leverer botnet-programmet en Windows-basert finanstrojan og et spamverktøy, som brukes til å samle inn nettbanklegitimasjon og kompromittere Gmail, Outlook og Yahoo! webmail-kontoer med det formål å sende ut spam-e-poster.

I følge Cisco Talos-forsker Chetan Raghuprasad har flertallet av infeksjonene blitt funnet i Mexico, med et mindre antall ofre identifisert i Uruguay, Brasil, Venezuela, Argentina, Guatemala og Panama. Trusselaktøren som er ansvarlig for denne kampanjen antas å være basert i Brasil.

Kampanjen retter seg først og fremst mot brukere innen regnskap, bygg og ingeniørfag, grossistdistribusjon og investeringssektoren, selv om det er mistanke om at andre bransjer i regionen også kan bli berørt.

Angrepsvektor og operasjonsmåte

Angrepet begynner med phishing-e-poster som lokker mottakere med skatte-tema lokker, og oppmuntrer dem til å åpne et HTML-vedlegg. Dette vedlegget inneholder en lenke som fører til et RAR-arkiv. Åpning av arkivet utløser kjøringen av et PowerShell-nedlastingsskript, som henter en ZIP-fil som inneholder hovednyttelastene fra en ekstern server og starter offerets maskin på nytt.

Systemomstarten fungerer som et startpunkt for banktrojaneren og spamverktøyet, og gjør det mulig for trusselaktøren å stjele data, ta opp tastetrykk, ta skjermbilder og sende ytterligere phishing-e-poster til offerets kontakter.

Chetan Raghuprasad beskriver denne kampanjen som et flertrinnsangrep som starter med en phishing-e-post og fortsetter med å levere nyttelast ved hjelp av et PowerShell-nedlastingsskript og sidelasting av legitime kjørbare filer.

Banktrojaneren, skrevet i programmeringsspråket Delphi, er en 32-bits Windows DLL som deler likheter med andre brasilianske skadevarefamilier som Mekotio og Casbaneiro.

På den annen side er Horabot et PowerShell-basert phishing-botnett-program spesielt utviklet for Outlook. Den sprer infeksjonen ved å sende phishing-e-post til alle e-postadresser som finnes i offerets postkasse, og formålet er å skjule trusselaktørens phishing-infrastruktur.

Denne avsløringen kommer kort tid etter at SentinelOne tilskrev en langvarig kampanje rettet mot over 30 portugisiske finansinstitusjoner til en ukjent brasiliansk trusselaktør som har brukt skadelig programvare som stjeler informasjon siden 2021.

I tillegg har en ny Android-banktrojan kalt PixBankBot blitt oppdaget, som utnytter tilgjengelighetstjenestene til operativsystemet for å utføre uredelige pengeoverføringer via den brasilianske PIX-betalingsplattformen. PixBankBot er den siste i en serie med skadelig programvare som er spesifikt rettet mot brasilianske banker, og slutter seg til rekkene av BrasDex, PixPirate og GoatRAT, som har blitt observert de siste månedene.