Cybersecurity -onderzoekers hebben een nieuwe phishing -campagne ontdekt die wordt gebruikt om malware te distribueren met de naam Horabot Richt op Windows -gebruikers in Latijns -Amerikaanse landen zoals Mexico, Guatemala, Colombia, Peru, Chili en Argentinië.
De campagne is “gebruik van vervaardigde e -mails die zich voordoen als facturen of financiële documenten om slachtoffers te misleiden om kwaadaardige bijlagen te openen en kan e -mailgegevens stelen, contactlijsten oogsten en Banking Trojans installeren”, zei Fortinet Fortiguard Labs -onderzoeker Cara Lin.
De activiteit, waargenomen door het Network Security Company in april 2025, heeft voornamelijk Spaanstalige gebruikers uitgekozen. De aanvallen zijn ook gevonden om phishing -berichten van de mailboxen van slachtoffers te verzenden met behulp van Outlook COM -automatisering, waardoor de malware zijdelings binnen zakelijke of persoonlijke netwerken wordt gepropageerd.
Bovendien voeren de dreigingsacteurs achter de campagne verschillende VBScript-, Autoit- en PowerShell -scripts uit om systeemverkenning uit te voeren, referenties te stelen en extra payloads te laten vallen.
Horabot werd voor het eerst gedocumenteerd door Cisco Talos in juni 2023 als gericht op Spaanstalige gebruikers in Latijns-Amerika sinds ten minste november 2020. Het wordt beoordeeld dat de aanvallen het werk zijn van een dreigingsacteur uit Brazilië.
Vorig jaar onthulden Trustwave Spiderlabs details van een andere phishing -campagne die zich richtte op dezelfde regio met kwaadaardige ladingen die volgens haar overeenkomsten vertoont met die van Horabot Malware.
De nieuwste set aanvallen begint met een phishing-e-mail die factuur-thema-kunstaas gebruikt om gebruikers te verleiden een zip-archief met een PDF-document te openen. In werkelijkheid bevat het bijgevoegde ZIP-bestand een kwaadaardig HTML-bestand met Base64-gecodeerde HTML-gegevens die zijn ontworpen om een externe server te bereiken en de payload op de volgende fase te downloaden.
De payload is een ander zip -archief dat een HTML -bestand (HTA) bevat, dat verantwoordelijk is voor het laden van een script dat op een externe server wordt gehost. Het script injecteert vervolgens een extern visuele basisscript (VBScript) dat een reeks controles uitvoert die ervoor zorgen dat het beëindigt als Avast Antivirus wordt geïnstalleerd of het in een virtuele omgeving wordt uitgevoerd.
Het VBScript -informatie verzamelt basissysteeminformatie, exfiltreert het naar een externe server en haalt extra payloads op, inclusief een Autoit -script dat de banktrojan ontketent door middel van een kwaadwillende DLL en een PowerShell -script dat is belast met het verspreiden van de phishing -e -mails na het bouwen van een lijst met doelwitgegevens door Scanning Gegevens binnen te scannen binnen de PospoSee.
“De malware gaat vervolgens over tot het stelen van browser-gerelateerde gegevens van een reeks gerichte webbrowsers, waaronder Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge en Google Chrome,” zei Lin. “Naast gegevensdiefstal bewaakt Horabot het gedrag van het slachtoffer en injecteert ze neppop-upvensters die zijn ontworpen om gevoelige inloggegevens van de gebruikers vast te leggen.”
