Malware Horabot tem como alvo vítimas latino-americanas

Desde o final de 2020, indivíduos que falam espanhol na América Latina enfrentam uma nova forma de malware conhecida como Horabot. Esse malware de botnet permite que um agente de ameaça assuma o controle da caixa de correio do Outlook da vítima, extraia endereços de e-mail de seus contatos e envie e-mails de phishing com anexos HTML maliciosos para todos os endereços na caixa de correio da vítima. Além disso, o programa botnet oferece um trojan financeiro baseado no Windows e uma ferramenta de spam, que são usados para coletar credenciais bancárias online e comprometer o Gmail, Outlook e Yahoo! contas de webmail com a finalidade de enviar e-mails de spam.

De acordo com Chetan Raghuprasad, pesquisador do Cisco Talos, a maioria das infecções foi encontrada no México, com um número menor de vítimas identificadas no Uruguai, Brasil, Venezuela, Argentina, Guatemala e Panamá. Acredita-se que o agente da ameaça responsável por esta campanha esteja baseado no Brasil.

A campanha visa principalmente usuários nos setores de contabilidade, construção e engenharia, distribuição atacadista e investimentos, embora se suspeite que outros setores da região também possam ser afetados.

Vetor de ataque e modo de operação

O ataque começa com e-mails de phishing que atraem os destinatários com iscas com temas fiscais, encorajando-os a abrir um anexo em HTML. Este anexo contém um link que leva a um arquivo RAR. Abrir o arquivo aciona a execução de um script de downloader do PowerShell, que recupera um arquivo ZIP contendo as principais cargas úteis de um servidor remoto e reinicializa a máquina da vítima.

A reinicialização do sistema serve como ponto de partida para o trojan bancário e a ferramenta de spam, permitindo que o invasor roube dados, registre as teclas digitadas, capture capturas de tela e envie e-mails de phishing adicionais aos contatos da vítima.

Chetan Raghuprasad descreve esta campanha como um ataque de vários estágios que começa com um e-mail de phishing e prossegue para entregar cargas usando um script de downloader do PowerShell e sideload de executáveis legítimos.

O trojan bancário, escrito na linguagem de programação Delphi, é uma DLL do Windows de 32 bits que compartilha semelhanças com outras famílias de malware brasileiras como Mekotio e Casbaneiro.

Por outro lado, Horabot é um programa de botnet de phishing baseado em PowerShell projetado especificamente para o Outlook. Ele propaga a infecção enviando e-mails de phishing para todos os endereços de e-mail encontrados na caixa de correio da vítima, e seu objetivo é ocultar a infraestrutura de phishing do agente da ameaça.

Esta divulgação ocorre logo depois que o SentinelOne atribuiu uma campanha prolongada visando mais de 30 instituições financeiras portuguesas a um agente de ameaças brasileiro desconhecido usando malware para roubo de informações desde 2021.

Além disso, foi descoberto um novo trojan bancário Android chamado PixBankBot, que explora os serviços de acessibilidade do sistema operacional para realizar transferências fraudulentas de dinheiro por meio da plataforma brasileira de pagamentos PIX. O PixBankBot é o mais recente de uma série de malwares direcionados especificamente aos bancos brasileiros, juntando-se ao BrasDex, PixPirate e GoatRAT, que foram observados nos últimos meses.