Horabot Malware richt zich op Latijns-Amerikaanse slachtoffers

Sinds eind 2020 hebben Spaanssprekende personen in Latijns-Amerika te maken gehad met een nieuwe vorm van malware, bekend als Horabot. Met deze botnet-malware kan een aanvaller de controle over de Outlook-mailbox van een slachtoffer overnemen, e-mailadressen uit hun contacten halen en phishing-e-mails met kwaadaardige HTML-bijlagen naar alle adressen in de mailbox van het slachtoffer sturen. Bovendien levert het botnetprogramma een op Windows gebaseerde financiële trojan en een spamtool, die worden gebruikt om inloggegevens voor internetbankieren te verzamelen en Gmail, Outlook en Yahoo! webmailaccounts voor het verzenden van spam-e-mails.

Volgens Cisco Talos-onderzoeker Chetan Raghuprasad zijn de meeste infecties gevonden in Mexico, met een kleiner aantal slachtoffers in Uruguay, Brazilië, Venezuela, Argentinië, Guatemala en Panama. De dreigingsactor die verantwoordelijk is voor deze campagne zou in Brazilië zijn gevestigd.

De campagne richt zich voornamelijk op gebruikers in de boekhouding, bouw en techniek, groothandel en investeringssectoren, hoewel vermoed wordt dat ook andere industrieën in de regio getroffen kunnen worden.

Aanvalsvector en werkingsmodus

De aanval begint met phishing-e-mails die ontvangers verleiden met belastingthema's en hen aanmoedigen een HTML-bijlage te openen. Deze bijlage bevat een link die naar een RAR-archief leidt. Het openen van het archief activeert de uitvoering van een PowerShell-downloader-script, dat een ZIP-bestand met de belangrijkste payloads van een externe server ophaalt en de machine van het slachtoffer opnieuw opstart.

Het herstarten van het systeem dient als startpunt voor de bank-trojan en de spamtool, waardoor de dreigingsactor gegevens kan stelen, toetsaanslagen kan opnemen, schermafbeeldingen kan maken en extra phishing-e-mails naar de contacten van het slachtoffer kan sturen.

Chetan Raghuprasad beschrijft deze campagne als een meertrapsaanval die begint met een phishing-e-mail en vervolgens payloads aflevert met behulp van een PowerShell-downloaderscript en het sideloaden van legitieme uitvoerbare bestanden.

De banktrojan, geschreven in de programmeertaal Delphi, is een 32-bits Windows DLL die overeenkomsten vertoont met andere Braziliaanse malwarefamilies zoals Mekotio en Casbaneiro.

Aan de andere kant is Horabot een op PowerShell gebaseerd phishing-botnetprogramma dat speciaal is ontworpen voor Outlook. Het verspreidt de infectie door phishing-e-mails te sturen naar alle e-mailadressen in de mailbox van het slachtoffer, en het doel is om de phishing-infrastructuur van de bedreigingsactor te verbergen.

Deze onthulling komt kort nadat SentinelOne een langdurige campagne gericht op meer dan 30 Portugese financiële instellingen toeschreef aan een onbekende Braziliaanse dreigingsactor die sinds 2021 malware voor het stelen van informatie gebruikt.

Daarnaast is een nieuwe Android-banktrojan genaamd PixBankBot ontdekt, die de toegankelijkheidsdiensten van het besturingssysteem uitbuit om frauduleuze geldovermakingen uit te voeren via het Braziliaanse PIX-betalingsplatform. PixBankBot is de nieuwste in een reeks malware die specifiek gericht is op Braziliaanse banken en voegt zich bij BrasDex, PixPirate en GoatRAT, die de afgelopen maanden zijn waargenomen.