Вредоносное программное обеспечение Horabot активно нацелено на пользователей Windows в шести странах Латинской Америки, используя фишинговые письма с темой счетов-фактур. Согласно наблюдениям Fortinet FortiGuard Labs в апреле 2025 года, кампания сосредоточена на испаноговорящих пользователях в Мексике, Гватемале, Колумбии, Перу, Чили и Аргентине.
Horabot обладает широким спектром вредоносных возможностей. Он похищает учетные данные электронной почты, собирает списки контактов, устанавливает банковские трояны и способен к самораспространению через почтовые ящики жертв, используя автоматизацию Outlook COM. Вредоносное ПО выполняет различные скрипты, включая VBScript, AutoIt и PowerShell, для проведения разведки системы, кражи учетных данных и загрузки дополнительных вредоносных программ.
Цепочка атаки начинается с фишингового письма, содержащего ZIP-архив с темой счета-фактуры. Архив содержит вредоносный HTML-файл с данными в кодировке Base64, который подключается к удаленному серверу для загрузки следующей части вредоносной нагрузки. Второй ZIP-архив содержит HTA-файл, загружающий удаленный скрипт, который внедряет VBScript.
Этот VBScript выполняет несколько функций: проводит проверки безопасности (прекращает работу при обнаружении Avast или в виртуальной среде), собирает системную информацию, отправляет данные на удаленный сервер и получает дополнительные полезные нагрузки. Среди них — скрипт AutoIt, который развертывает банковский троян через вредоносную DLL, и скрипт PowerShell, распространяющий фишинговые письма путем сканирования контактов Outlook.
Horabot нацелен на кражу данных браузеров из множества популярных веб-обозревателей, включая Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge и Google Chrome. Вредоносное ПО также отслеживает поведение жертвы и внедряет поддельные всплывающие окна для перехвата учетных данных.
Впервые Horabot был задокументирован Cisco Talos в июне 2023 года, хотя активность этого вредоносного ПО прослеживается как минимум с ноября 2020 года. Исследователи считают, что за ним стоит злоумышленник из Бразилии. Похожая кампания была зафиксирована Trustwave SpiderLabs в прошлом году.
Кара Лин, исследователь Fortinet FortiGuard Labs, отмечает, что Horabot продолжает эволюционировать, совершенствуя свои методы обхода защиты и расширяя географию атак. Эксперты рекомендуют пользователям проявлять особую осторожность при открытии вложений электронной почты, особенно если они содержат архивы или связаны с финансовыми документами.
Специалисты по кибербезопасности подчеркивают, что многоступенчатый характер ата
Horabot обладает широким спектром вредоносных возможностей. Он похищает учетные данные электронной почты, собирает списки контактов, устанавливает банковские трояны и способен к самораспространению через почтовые ящики жертв, используя автоматизацию Outlook COM. Вредоносное ПО выполняет различные скрипты, включая VBScript, AutoIt и PowerShell, для проведения разведки системы, кражи учетных данных и загрузки дополнительных вредоносных программ.
Цепочка атаки начинается с фишингового письма, содержащего ZIP-архив с темой счета-фактуры. Архив содержит вредоносный HTML-файл с данными в кодировке Base64, который подключается к удаленному серверу для загрузки следующей части вредоносной нагрузки. Второй ZIP-архив содержит HTA-файл, загружающий удаленный скрипт, который внедряет VBScript.
Этот VBScript выполняет несколько функций: проводит проверки безопасности (прекращает работу при обнаружении Avast или в виртуальной среде), собирает системную информацию, отправляет данные на удаленный сервер и получает дополнительные полезные нагрузки. Среди них — скрипт AutoIt, который развертывает банковский троян через вредоносную DLL, и скрипт PowerShell, распространяющий фишинговые письма путем сканирования контактов Outlook.
Horabot нацелен на кражу данных браузеров из множества популярных веб-обозревателей, включая Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge и Google Chrome. Вредоносное ПО также отслеживает поведение жертвы и внедряет поддельные всплывающие окна для перехвата учетных данных.
Впервые Horabot был задокументирован Cisco Talos в июне 2023 года, хотя активность этого вредоносного ПО прослеживается как минимум с ноября 2020 года. Исследователи считают, что за ним стоит злоумышленник из Бразилии. Похожая кампания была зафиксирована Trustwave SpiderLabs в прошлом году.
Кара Лин, исследователь Fortinet FortiGuard Labs, отмечает, что Horabot продолжает эволюционировать, совершенствуя свои методы обхода защиты и расширяя географию атак. Эксперты рекомендуют пользователям проявлять особую осторожность при открытии вложений электронной почты, особенно если они содержат архивы или связаны с финансовыми документами.
Специалисты по кибербезопасности подчеркивают, что многоступенчатый характер ата