Horabot Malware riktar sig mot latinamerikanska offer

Sedan slutet av 2020 har spansktalande individer i Latinamerika mött en ny form av skadlig programvara som kallas Horabot. Denna botnät skadlig programvara tillåter en hotaktör att ta kontroll över ett offers Outlook-postlåda, extrahera e-postadresser från deras kontakter och skicka nätfiske-e-postmeddelanden med skadliga HTML-bilagor till alla adresser i offrets brevlåda. Dessutom levererar botnätprogrammet en Windows-baserad finansiell trojan och ett skräppostverktyg, som används för att samla in nätbanksuppgifter och äventyra Gmail, Outlook och Yahoo! webbmailkonton i syfte att skicka ut skräppost.

Enligt Cisco Talos-forskaren Chetan Raghuprasad har majoriteten av infektionerna hittats i Mexiko, med ett mindre antal offer identifierade i Uruguay, Brasilien, Venezuela, Argentina, Guatemala och Panama. Hotaktören som ansvarar för denna kampanj tros vara baserad i Brasilien.

Kampanjen riktar sig främst till användare inom redovisnings-, bygg- och tekniksektorn, grossistdistribution och investeringssektorer, även om det misstänks att även andra industrier i regionen kan påverkas.

Attackvektor och funktionssätt

Attacken börjar med nätfiske-e-postmeddelanden som lockar mottagare med skattetema, vilket uppmuntrar dem att öppna en HTML-bilaga. Denna bilaga innehåller en länk som leder till ett RAR-arkiv. Öppnandet av arkivet utlöser körningen av ett PowerShell-nedladdningsskript, som hämtar en ZIP-fil som innehåller de viktigaste nyttolasterna från en fjärrserver och startar om offrets dator.

Systemomstarten fungerar som en startpunkt för banktrojanen och skräppostverktyget, vilket gör att hotaktören kan stjäla data, spela in tangenttryckningar, ta skärmdumpar och skicka ytterligare e-postmeddelanden om nätfiske till offrets kontakter.

Chetan Raghuprasad beskriver den här kampanjen som en attack i flera steg som börjar med ett nätfiske-e-postmeddelande och fortsätter att leverera nyttolaster med hjälp av ett PowerShell-nedladdningsskript och sidladdning av legitima körbara filer.

Banktrojanen, skriven i programmeringsspråket Delphi, är en 32-bitars Windows-DLL som delar likheter med andra brasilianska skadliga programfamiljer som Mekotio och Casbaneiro.

Å andra sidan är Horabot ett PowerShell-baserat nätfiske-botnätprogram speciellt designat för Outlook. Den sprider infektionen genom att skicka nätfiske-e-post till alla e-postadresser som finns i offrets brevlåda, och dess syfte är att dölja hotaktörens nätfiskeinfrastruktur.

Detta avslöjande kommer kort efter att SentinelOne tillskrev en utdragen kampanj riktad till över 30 portugisiska finansinstitutioner till en okänd brasiliansk hotaktör som använt skadlig programvara som stjäl information sedan 2021.

Dessutom har en ny Android-banktrojan vid namn PixBankBot upptäckts, som utnyttjar operativsystemets tillgänglighetstjänster för att utföra bedrägliga pengaöverföringar via den brasilianska PIX-betalningsplattformen. PixBankBot är den senaste i en serie skadlig programvara som specifikt riktar sig till brasilianska banker, och ansluter sig till BrasDex, PixPirate och GoatRAT, som har observerats under de senaste månaderna.