Pesquisadores de cibersegurança descobriram uma nova campanha de phishing que está sendo utilizada para distribuir um malware chamado Horabot, visando usuários do Windows em países da América Latina, como México, Guatemala, Colômbia, Peru, Chile e Argentina.
A campanha "utiliza e-mails elaborados que se passam por faturas ou documentos financeiros para enganar as vítimas a abrir anexos maliciosos e pode roubar credenciais de e-mail, colher listas de contatos e instalar trojans bancários", disse a pesquisadora da Fortinet FortiGuard Labs, Cara Lin.
A atividade, observada pela empresa de segurança de redes em abril de 2025, tem como alvo principalmente usuários que falam espanhol.
Os ataques também foram encontrados enviando mensagens de phishing a partir das caixas de correio das vítimas usando automação COM do Outlook, propagando efetivamente o malware lateralmente dentro de redes corporativas ou pessoais.
Além disso, os atores da ameaça por trás da campanha executam vários scripts VBScript, AutoIt e PowerShell para realizar reconhecimento do sistema, roubar credenciais e descarregar payloads adicionais.
O Horabot foi documentado pela primeira vez pela Cisco Talos em junho de 2023 como tendo como alvo usuários de língua espanhola na América Latina desde pelo menos novembro de 2020.
Avalia-se que os ataques são obra de um ator de ameaça do Brasil.
Em seguida, no último ano, a Trustwave SpiderLabs revelou detalhes de outra campanha de phishing direcionada à mesma região com payloads maliciosos que, segundo ela, exibem semelhanças com o malware Horabot.
O conjunto mais recente de ataques começa com um e-mail de phishing que emprega iscas temáticas de fatura para atrair os usuários a abrir um arquivo ZIP contendo um documento PDF.
No entanto, na realidade, o arquivo ZIP anexado contém um arquivo HTML malicioso com dados HTML codificados em Base64 que é projetado para se conectar a um servidor remoto e baixar o payload da próxima etapa.
O payload é outro arquivo ZIP que contém um arquivo de Aplicação HTML (HTA), responsável por carregar um script hospedado em um servidor remoto.
O script então injeta um script Visual Basic Script (VBScript) externo que realiza uma série de verificações que o fazem terminar se o antivírus Avast estiver instalado ou estiver rodando em um ambiente virtual.
O VBScript prossegue para coletar informações básicas do sistema, exfiltrá-las para um servidor remoto e recuperar payloads adicionais, incluindo um script AutoIt que desencadeia o trojan bancário por meio de uma DLL maliciosa e um script PowerShell encarregado de espalhar os e-mails de phishing após construir uma lista de endereços de e-mail alvo, examinando dados de contato dentro do Outlook.
"O malware então prossegue para roubar dados relacionados ao navegador de uma gama de navegadores da web alvo, incluindo Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge e Google Chrome", disse Lin.
Além do roubo de dados, o Horabot monitora o comportamento da vítima e injeta janelas pop-up falsas projetadas para capturar credenciais de login sensíveis do usuário.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...