Gli utenti di lingua spagnola in America Latina sono stati presi di mira da un nuovo malware botnet chiamato Horabot, attivo almeno dal novembre 2020. “Horabot permette all’attaccante di controllare la casella di posta di Outlook della vittima, esfiltrare gli indirizzi email dei contatti e inviare email di phishing con allegati HTML dannosi a tutti gli indirizzi nella casella di posta della vittima”, ha dichiarato il ricercatore di Cisco Talos, Chetan Raghuprasad.
Funzionalità di Horabot
Il programma botnet distribuisce anche un trojan finanziario basato su Windows e uno strumento di spam per raccogliere le credenziali bancarie online e compromettere gli account di posta web Gmail, Outlook e Yahoo! per inviare email di spam. La maggior parte delle infezioni si trova in Messico, con un numero limitato di vittime identificate in Uruguay, Brasile, Venezuela, Argentina, Guatemala e Panama. Si ritiene che l’attore della minaccia dietro la campagna sia in Brasile.
Come funziona l’attacco
L’attacco inizia con email di phishing che inducono i destinatari ad aprire un allegato HTML, che a sua volta incorpora un link contenente un archivio RAR. L’apertura del contenuto del file comporta l’esecuzione di uno script di downloader PowerShell responsabile del recupero di un file ZIP contenente i payload principali da un server remoto e del riavvio della macchina. Il riavvio del sistema serve anche come trampolino di lancio per il trojan bancario e lo strumento di spam, permettendo all’attaccante di rubare dati, registrare i tasti premuti, catturare screenshot e diffondere ulteriori email di phishing ai contatti della vittima.