Horabot-Malware

Spanischsprachige Benutzer in Lateinamerika wurden von einer neu entdeckten Botnet-Malware namens Horabot angegriffen. Man geht davon aus, dass die Angriffskampagne seit mindestens November 2020 aktiv ist. Das Bedrohungsprogramm gibt Bedrohungsakteuren die Möglichkeit, das Outlook-Postfach des Opfers zu manipulieren, E-Mail-Adressen aus seinen Kontakten zu extrahieren und Phishing-E-Mails mit beschädigten HTML-Anhängen an alle darin enthaltenen Adressen zu senden das kompromittierte Postfach.

Zusätzlich zu diesen Funktionen setzt die Horabot-Malware einen Windows-basierten Finanztrojaner und ein Spam-Tool ein. Diese Komponenten sind darauf ausgelegt, vertrauliche Online-Banking-Zugangsdaten abzugreifen und beliebte Webmail-Dienste wie Gmail, Outlook und Yahoo! zu kompromittieren. Durch den Zugriff auf diese kompromittierten Konten können die Malware-Betreiber eine Flut von Spam-E-Mails an eine Vielzahl von Empfängern senden.

Cyberkriminelle zielen mit der Horabot-Malware auf verschiedene Branchen ab

Nach Angaben eines Cybersicherheitsunternehmens wurde in Mexiko eine erhebliche Anzahl von Infektionen im Zusammenhang mit der Horabot-Kampagne entdeckt. Gleichzeitig wurden in Ländern wie Uruguay, Brasilien, Venezuela, Argentinien, Guatemala und Panama weniger Opfer identifiziert. Es wird angenommen, dass der für die Kampagne verantwortliche Bedrohungsakteur in Brasilien ansässig ist.

Die laufende Kampagne richtet sich an Benutzer, die hauptsächlich in den Bereichen Buchhaltung, Bauwesen und Ingenieurwesen, Großhandel und Investitionen tätig sind. Es besteht jedoch der Verdacht, dass auch andere Branchen in der Region von dieser Bedrohung betroffen sein könnten.

Die Horabot-Malware wird über eine mehrstufige Angriffskette verbreitet

Die Angriffskampagne beginnt mit Phishing-E-Mails, die steuerbezogene Themen verwenden, um Empfänger zum Öffnen eines HTML-Anhangs zu verleiten. In diesem Anhang ist ein Link eingebettet, der zu einem RAR-Archiv führt.

Beim Öffnen der Datei wird ein PowerShell-Downloader-Skript ausgeführt, das für den Abruf einer ZIP-Datei mit den primären Nutzlasten von einem Remote-Server verantwortlich ist. Darüber hinaus wird die Maschine während dieses Vorgangs neu gestartet.

Der Systemneustart dient als Startpunkt für den Banking-Trojaner und das Spam-Tool und ermöglicht es dem Bedrohungsakteur, Daten zu sammeln, Tastatureingaben aufzuzeichnen, Screenshots zu erstellen und weitere Phishing-E-Mails an die Kontakte des Opfers zu verteilen.

Der in der Kampagne eingesetzte Banking-Trojaner ist eine 32-Bit-Windows-DLL, die in der Programmiersprache Delphi programmiert ist. Es weist Ähnlichkeiten mit anderen brasilianischen Malware-Familien wie Mekotio und Casbaneiro auf.

Andererseits ist Horabot ein Phishing-Botnet-Programm, das für Outlook entwickelt wurde. Es ist in PowerShell geschrieben und verfügt über die Fähigkeit, Phishing-E-Mails an alle im Postfach des Opfers gefundenen E-Mail-Adressen zu senden und so die Infektion zu verbreiten. Bei dieser Taktik handelt es sich um eine bewusste Strategie des Bedrohungsakteurs, um das Risiko einer Offenlegung seiner Phishing-Infrastruktur zu verringern.