Logiciel malveillant Horabot

Les utilisateurs hispanophones d'Amérique latine ont été ciblés par un malware botnet récemment découvert appelé Horabot. On pense que la campagne d'attaque est active depuis au moins novembre 2020. Le programme menaçant donne aux acteurs de la menace la possibilité de manipuler la boîte aux lettres Outlook de la victime, d'extraire les adresses e-mail de leurs contacts et d'envoyer des e-mails de phishing contenant des pièces jointes HTML corrompues à toutes les adresses dans la boîte aux lettres compromise.

En plus de ces fonctionnalités, Horabot Malware déploie un cheval de Troie financier basé sur Windows et un outil anti-spam. Ces composants sont conçus pour collecter des informations d'identification bancaires en ligne sensibles et compromettre les services de messagerie Web populaires tels que Gmail, Outlook et Yahoo! Avec l'accès à ces comptes compromis, les opérateurs de logiciels malveillants peuvent déclencher un torrent de spams à un large éventail de destinataires.

Les cybercriminels ciblent plusieurs industries différentes avec le logiciel malveillant Horabot

Selon une firme de cybersécurité, un nombre important d'infections liées à la campagne Horabot ont été détectées au Mexique. Dans le même temps, il y a eu moins de victimes identifiées dans des pays comme l'Uruguay, le Brésil, le Venezuela, l'Argentine, le Guatemala et le Panama. L'acteur menaçant responsable de la campagne serait basé au Brésil.

La campagne en cours cible les utilisateurs principalement impliqués dans les secteurs de la comptabilité, de la construction et de l'ingénierie, de la distribution en gros et de l'investissement. Cependant, on soupçonne que d'autres industries de la région pourraient également être touchées par cette menace.

Le logiciel malveillant Horabot est diffusé via une chaîne d'attaque en plusieurs étapes

La campagne d'attaque commence par des e-mails de phishing qui utilisent des thèmes liés à la fiscalité pour inciter les destinataires à ouvrir une pièce jointe HTML. Dans cette pièce jointe, un lien est intégré, menant à une archive RAR.

Lors de l'ouverture du fichier, un script de téléchargement PowerShell est exécuté, qui est chargé de récupérer un fichier ZIP contenant les charges utiles principales à partir d'un serveur distant. En outre, la machine est redémarrée au cours de ce processus.

Le redémarrage du système sert de point de lancement pour le cheval de Troie bancaire et l'outil de spam, permettant à l'auteur de la menace de collecter des données, d'enregistrer des frappes au clavier, de capturer des captures d'écran et de distribuer d'autres e-mails de phishing aux contacts de la victime.

Le cheval de Troie bancaire utilisé dans la campagne est une DLL Windows 32 bits codée dans le langage de programmation Delphi. Il présente des similitudes avec d'autres familles de logiciels malveillants brésiliens, tels que Mekotio et Casbaneiro.

D'autre part, Horabot est un programme de botnet de phishing conçu pour Outlook. Il est écrit en PowerShell et possède la capacité d'envoyer des e-mails de phishing à toutes les adresses e-mail trouvées dans la boîte aux lettres de la victime, propageant ainsi l'infection. Cette tactique est une stratégie délibérée employée par l'auteur de la menace pour réduire le risque d'exposer son infrastructure de phishing.