Pesquisadores de cibersegurança identificaram uma nova campanha de phishing que distribui o malware Horabot, voltado para usuários do Windows em seis países da América Latina: México, Guatemala, Colômbia, Peru, Chile e Argentina. A origem do Horabot é atribuída a um agente de ameaças brasileiro, ativo desde pelo menos 2020. A campanha utiliza e-mails falsos com temas de faturas e documentos financeiros para enganar vítimas e levá-las a abrir anexos maliciosos.

Segundo a Fortinet, os ataques são direcionados principalmente a falantes de espanhol e permitem que os criminosos roubem credenciais de e-mail, acessem listas de contatos e instalem trojans bancários. Os cibercriminosos exploram a automação do Outlook para enviar mensagens fraudulentas a partir das caixas de entrada comprometidas, ampliando a propagação do malware em redes pessoais e corporativas. A ameaça executa diversos scripts em VBScript, AutoIt e PowerShell para realizar reconhecimento do sistema, extrair dados e baixar novas cargas maliciosas.

A infecção começa com um e-mail contendo um arquivo ZIP, supostamente com uma fatura em PDF, mas que na verdade traz um arquivo HTML malicioso codificado em Base64. Esse arquivo se comunica com um servidor remoto para baixar outro ZIP com um arquivo HTA, que carrega scripts adicionais e verifica se há antivírus ou máquinas virtuais antes de prosseguir. Uma vez ativo, o malware coleta informações do sistema, rouba dados de navegadores como Chrome, Edge, Opera, Brave e outros, e injeta janelas falsas para capturar senhas.