Вредоносное программное обеспечение Horabot активно нацелено на пользователей Windows в шести странах Латинской Америки, используя фишинговые письма с темой счетов-фактур. Согласно наблюдениям Fortinet FortiGuard Labs в апреле 2025 года, кампания сосредоточена на испаноговорящих пользователях в Мексике, Гватемале, Колумбии, Перу, Чили и Аргентине.
Horabot обладает широким спектром вредоносных возможностей. Он похищает учетные данные электронной почты, собирает списки контактов, устанавливает банковские трояны и способен к самораспространению через почтовые ящики жертв, используя автоматизацию Outlook COM. Вредоносное ПО выполняет различные скрипты, включая VBScript, AutoIt и PowerShell, для проведения разведки системы, кражи учетных данных и загрузки дополнительных вредоносных программ.
Цепочка атаки начинается с фишингового письма, содержащего ZIP-архив с темой счета-фактуры. Архив содержит вредоносный HTML-файл с данными в кодировке Base64, который подключается к удаленному серверу для загрузки следующей части вредоносной нагрузки. Второй ZIP-архив содержит HTA-файл, загружающий удаленный скрипт, который внедряет VBScript.
Этот VBScript выполняет несколько функций: проводит проверки безопасности (прекращает работу при обнаружении Avast или в виртуальной среде), собирает системную информацию, отправляет данные на удаленный сервер и получает дополнительные полезные нагрузки. Среди них — скрипт AutoIt, который развертывает банковский троян через вредоносную DLL, и скрипт PowerShell, распространяющий фишинговые письма путем сканирования контактов Outlook.
Horabot нацелен на кражу данных браузеров из множества популярных веб-обозревателей, включая Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge и Google Chrome. Вредоносное ПО также отслеживает поведение жертвы и внедряет поддельные всплывающие окна для перехвата учетных данных.
Впервые Horabot был задокументирован Cisco Talos в июне 2023 года, хотя активность этого вредоносного ПО прослеживается как минимум с ноября 2020 года. Исследователи считают, что за ним стоит злоумышленник из Бразилии. Похожая кампания была зафиксирована Trustwave SpiderLabs в прошлом году.
Кара Лин, исследователь Fortinet FortiGuard Labs, отмечает, что Horabot продолжает эволюционировать, совершенствуя свои методы обхода защиты и расширяя географию атак. Эксперты рекомендуют пользователям проявлять особую осторожность при открытии вложений электронной почты, особенно если они содержат архивы или связаны с финансовыми документами.
Специалисты по кибербезопасности подчеркивают, что многоступенчатый характер ата
Изображение носит иллюстративный характер
Horabot обладает широким спектром вредоносных возможностей. Он похищает учетные данные электронной почты, собирает списки контактов, устанавливает банковские трояны и способен к самораспространению через почтовые ящики жертв, используя автоматизацию Outlook COM. Вредоносное ПО выполняет различные скрипты, включая VBScript, AutoIt и PowerShell, для проведения разведки системы, кражи учетных данных и загрузки дополнительных вредоносных программ.
Цепочка атаки начинается с фишингового письма, содержащего ZIP-архив с темой счета-фактуры. Архив содержит вредоносный HTML-файл с данными в кодировке Base64, который подключается к удаленному серверу для загрузки следующей части вредоносной нагрузки. Второй ZIP-архив содержит HTA-файл, загружающий удаленный скрипт, который внедряет VBScript.
Этот VBScript выполняет несколько функций: проводит проверки безопасности (прекращает работу при обнаружении Avast или в виртуальной среде), собирает системную информацию, отправляет данные на удаленный сервер и получает дополнительные полезные нагрузки. Среди них — скрипт AutoIt, который развертывает банковский троян через вредоносную DLL, и скрипт PowerShell, распространяющий фишинговые письма путем сканирования контактов Outlook.
Horabot нацелен на кражу данных браузеров из множества популярных веб-обозревателей, включая Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge и Google Chrome. Вредоносное ПО также отслеживает поведение жертвы и внедряет поддельные всплывающие окна для перехвата учетных данных.
Впервые Horabot был задокументирован Cisco Talos в июне 2023 года, хотя активность этого вредоносного ПО прослеживается как минимум с ноября 2020 года. Исследователи считают, что за ним стоит злоумышленник из Бразилии. Похожая кампания была зафиксирована Trustwave SpiderLabs в прошлом году.
Кара Лин, исследователь Fortinet FortiGuard Labs, отмечает, что Horabot продолжает эволюционировать, совершенствуя свои методы обхода защиты и расширяя географию атак. Эксперты рекомендуют пользователям проявлять особую осторожность при открытии вложений электронной почты, особенно если они содержат архивы или связаны с финансовыми документами.
Специалисты по кибербезопасности подчеркивают, что многоступенчатый характер ата
