# Horabot LATAM 2026 > [!danger] Malware bancario de origem brasileira com 5.384 dispositivos comprometidos no Mexico - ativo em 2026 > A campanha Horabot LATAM 2026 e uma operação de crime financeiro descoberta pela Kaspersky MDR em marco de 2026, com raizes em maio de 2025. O [[horabot]] - trojan bancario Delphi de origem brasileira identificado por girias em portugues no código - compromete vitimas via CAPTCHA falso (ClickFix) e se autopropaga via Outlook MAPI, convertendo cada maquina infectada em relay de phishing. 93% das 5.384 vitimas documentadas estao no Mexico. ## Visão Geral A campanha **Horabot LATAM 2026** é uma operação de crime financeiro ativa descoberta pela equipe de Managed Detection and Response (MDR) da [[kaspersky]] em março de 2026, com registros de atividade remontando a maio de 2025. A campanha emprega o [[horabot]] - ameaça de **origem brasileira** que combina um trojan bancário Delphi (também rastreado como [[casbaneiro]], *Ponteiro*, *Metamorfo* e *Zusy*), um módulo propagador de e-mails e uma cadeia de ataque multicamadas de elevada sofisticação técnica. Os pesquisadores identificaram um banco de dados exposto na infraestrutura do adversário com registros de **5.384 dispositivos comprometidos**, sendo **93% localizados no México** (aproximadamente 5.030 vítimas). A campanha utiliza uma página de CAPTCHA falsa no estilo *ClickFix* como vetor inicial, seguida de múltiplos estágios com scripts VBScript e HTA polimórficos, um loader [[autoit]], e o trojan bancário Delphi carregado diretamente na memória para evasão de detecção. O malware exibe sobreposições bancárias falsas de instituições conhecidas para roubar credenciais e se autopropaga via Outlook abusando do namespace MAPI para coletar e-mails de contatos, convertendo máquinas infectadas em relays de phishing. O código do propagador contém comentários em português brasileiro informal - incluindo a expressão *"sapecar"* (gíria exclusivamente brasileira) - confirmando a origem dos operadores. > [!warning] Ameaça Ativa > A campanha está ativa desde pelo menos maio de 2025. O [[horabot]] continua evoluindo com atualizações na lógica de criptografia e protocolo de C2. Organizações na América Latina, especialmente nos setores financeiro e contábil, devem tratar esta ameaça como prioridade. --- ## Linha do Tempo | Data | Evento | |------|--------| | **Novembro 2020** | Horabot originalmente documentado pela [[cisco-talos]] como botnet ativo | | **2023** | Campanhas anteriores documentadas por [[cisco-talos]] e [[_fortinet\|fortinet]], foco em usuários hispânicos | | **Maio 2025** | Primeiros registros de vítimas no banco de dados exposto do adversário (database inicia) | | **Setembro 2025** | Kaspersky MDR captura screenshot do painel; 5.384 entradas registradas | | **Janeiro–Fevereiro 2026** | Equipe MDR da [[kaspersky]] recebe alerta de atividade MSHTA suspeita em cliente monitorado | | **18/03/2026** | [[kaspersky]] publica relatório técnico completo na Securelist com IoCs e cadeia de ataque | | **19/03/2026** | Kaspersky LATAM divulga press release em português e espanhol alertando a região | --- ## Attack Flow ```mermaid graph TB A["🎣 Estágio 1: Lure Inicial<br/>Página CAPTCHA falsa (ClickFix)<br/>grupotuis[.]buzz"] --> B["📄 HTA File Executado<br/>mshta via Run dialog<br/>DMEENLIGGB.hta"] B --> C["⚙️ Estágio 2: VBScript Polimórfico<br/>Código muda a cada acesso<br/>server-side polymorphism"] C --> D["🔧 Heavy Lifter VBScript<br/>Coleta IP/hostname/OS<br/>Exfiltra + baixa AutoIt"] D --> E["🤖 Estágio 3: Loader AutoIt<br/>Decripta blob AES-192<br/>DLL Delphi na memória"] E --> F["🏦 Trojan Bancário Delphi<br/>Casbaneiro/Ponteiro/Zusy<br/>Overlays falsos de bancos"] D --> G["📧 Estágio 4: Propagador PS<br/>Coleta e-mails via MAPI<br/>Envia PDFs maliciosos"] G --> A F --> H["💰 Impacto Final<br/>Credenciais bancárias roubadas<br/>5.384 dispositivos comprometidos"] ``` --- ## Técnicas e Táticas | ID MITRE | Técnica | Tática | Descrição no Contexto | |----------|---------|--------|-----------------------| | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing Attachment | Initial Access | PDFs maliciosos com tema de "fatura" ou "arquivo confidencial" em espanhol | | [[T1204.002 - User Execution - Malicious File\|T1204.002]] | User Execution: Malicious File | Execution | Vítima executa comando via Run dialog instruída por CAPTCHA falso (ClickFix) | | [[t1059-001-powershell\|T1059.001]] | PowerShell | Execution | PowerShell para download de payloads, exfiltração de e-mails e ativação do propagador | | [[t1059-005-visual-basic\|T1059.005]] | Visual Basic | Execution | VBScript obfuscado em múltiplos estágios com polimorfismo server-side | | [[t1027-obfuscated-files\|T1027]] | Obfuscated Files or Information | Defense Evasion | Múltiplas camadas de ofuscação; polimorfismo server-side; AES-192 em memória | | [[t1055-process-injection\|T1055]] | Process Injection | Defense Evasion | DLL Delphi carregada diretamente na memória via AutoIt - sem escrita em disco | | [[T1547.001 - Registry Run Keys - Startup Folder\|T1547.001]] | Startup Folder | Persistence | LNK malicioso dropado na pasta Startup para persistência pós-reinicialização | | [[t1056-001-keylogging\|T1056.001]] | Input Capture: Keylogging | Credential Access | Trojan Delphi captura teclas durante sessões bancárias ativas | | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credentials from Web Browsers | Credential Access | Comandos SQL embutidos para extração de credenciais armazenadas em browsers | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | Command and Control | C2 via HTTPS usando OpenSSL do Indy Project para comúnicação criptografada | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltration Over C2 Channel | Exfiltration | IP, hostname, OS, credenciais e e-mails exfiltrados para servidor C2 | | [[T1566.004 - Spearphishing via Service\|T1566.004]] | Spearphishing via Service | Initial Access | Propagador abusa de contas Outlook comprometidas para phishing em massa via MAPI | --- ## Infraestrutura ### Vetor de Entrega A campanha utiliza a técnica **ClickFix** - engenharia social que instrui a vítima a abrir o diálogo *Executar* (Win+R), colar um comando `mshta` malicioso e executá-lo. A página se apresenta como um CAPTCHA de verificação legítimo. O e-mail de phishing, distribuído por contas Outlook comprometidas, entrega **PDFs maliciosos** com tema de fatura ou documento confidencial, escritos em espanhol, com um botão grande para "acessar o arquivo". ### Mecanismo C2 O trojan bancário Delphi utiliza duas bibliotecas OpenSSL do **Indy Project** (`libeay32.dll` e `ssleay32.dll`) para comunicação HTTPS com o C2. Um cipher XOR-subtração *stateful* com a chave `"0xFF0wx8066h"` protege strings e descriptografa dados recebidos. O blob criptografado usa **AES-192** com seed `99521487` para carregar a DLL Delphi diretamente em memória - sem toque em disco. ### Domínios de C2 (Defanged) | Domínio | Função | |---------|--------| | `evs.grupotuis[.]buzz` | Página CAPTCHA falsa / Stage 1 | | `pdj.gruposhac[.]lat` | VBScript polimórfico (Stage 2) | | `cgf.facturastbs[.]shop` | Configuração C2 criptografada / Spreader | | `cfg.brasilinst[.]site` | Recebe informações do host (Delphi DLL) | | `aufal.filevexcasv[.]buzz` | Exfiltração de informações de vítimas | | `cgf.midasx[.]site` | PowerShell stager 01 | | `thea.gruposhac[.]space` | Infraestrutura adicional | | `labodeguitaup[.]space` | PowerShell stager alternativo | > [!info] Infraestrutura com Origem Brasileira > Comentários no código do propagador foram escritos em português brasileiro informal, incluindo *"limpa a caixa de saída antes de sapecar"* - gíria exclusivamente brasileira. A chave de descriptografia referência a frase *"pega a visão"* (expressão coloquial brasileira). Operadores são nativos de língua portuguesa com fortes vínculos ao ecossistema de malware bancário do Brasil ([[s0531-grandoreiro]], [[mekotio]], [[casbaneiro]]). --- ## Indicadores de Comprometimento > [!ioc]- IOCs - Horabot LATAM 2026 (TLP:GREEN) > Fonte: Kaspersky Securelist, 18/03/2026. Substituir `[.]` por `.` para uso operacional. > > **Hashes MD5** > - `6272ef6ac1de8fb4bdd4a760be7ba5ed` - Delphi Banking Trojan DLL (Casbaneiro/Zusy) > - `4caa797130b5f7116f11c0b48013e430` - Componente AutoIt Loader > - `c882d948d44a65019df54b0b2996677f` - Componente AutoIt (variante) > > **URLs Maliciosas (Defanged)** > - `hxxps://evs.grupotuis[.]buzz/0capcha17/` - Página CAPTCHA falsa (Stage 1) > - `hxxps://evs.grupotuis[.]buzz/0capcha17/DMEENLIGGB.hta` - HTA file Stage 1 > - `hxxps://pdj.gruposhac[.]lat/g1/ld1/` - VBScript Polimórfico 01 > - `hxxps://pdj.gruposhac[.]lat/g1/` - VBScript Polimórfico 02 (heavy lifter) > - `hxxps://pdj.gruposhac[.]lat/g1/ctld/` - Lista de vítimas exposta > - `hxxps://cgf.facturastbs[.]shop/0725/a/home` - Configuração C2 criptografada > - `hxxps://cfg.brasilinst[.]site/a/br/logs/index.php?CHLG` - Exfiltração host info (DLL) > - `hxxps://aufal.filevexcasv[.]buzz/on7/index15.php` - Exfiltração de vítimas > - `hxxps://aufal.filevexcasv[.]buzz/on7all/index15.php` - Exfiltração de vítimas (alternativo) > - `hxxps://cgf.midasx[.]site/a/08/150822/au/au` - PowerShell stager 01 > - `hxxps://cgf.facturastbs[.]shop/a/08/150822/au/gerauto.php` - PowerShell stager 02 > - `hxxps://cgf.facturastbs[.]shop/a/08/150822/au/app` - Download do spreader > > **Domínios C2 (Defanged)** > - `evs.grupotuis[.]buzz` - Página CAPTCHA falsa / Stage 1 > - `pdj.gruposhac[.]lat` - VBScript polimórfico (Stage 2) > - `cgf.facturastbs[.]shop` - Configuração C2 criptografada / Spreader > - `cfg.brasilinst[.]site` - Recebe informações do host (Delphi DLL) > - `aufal.filevexcasv[.]buzz` - Exfiltração de informações de vítimas > - `cgf.midasx[.]site` - PowerShell stager 01 > - `thea.gruposhac[.]space` - Infraestrutura adicional > - `labodeguitaup[.]space` - PowerShell stager alternativo > > **Artefatos no Host** > - `C:\Users\Public\LAPTOP-0QF0NEUP4\` - Diretório hardcoded para componentes AutoIt > - LNK em pasta Startup do Windows - Mecanismo de persistência pós-reinicialização > > **Chave de Criptografia** > - XOR-subtração stateful com chave `"0xFF0wx8066h"` (strings do trojan Delphi) > - Blob AES-192 com seed `99521487` (carrega DLL Delphi em memória) --- ## Impacto Regional > [!danger] Concentração Extrema no México > Dos 5.384 dispositivos comprometidos identificados no banco de dados exposto, **5.030 (93%) estão localizados no México**. Os atacantes incluíram coordenadas geográficas das vítimas nos logs do servidor, evidênciando foco regional preciso e monitoramento ativo das infecções. > [!warning] Ameaça ao Setor Financeiro LATAM > O [[horabot]] exibe **overlays bancários falsos** que imitam bancos reconhecidos para capturar credenciais durante sessões ativas. Esta TTP é recorrente no ecossistema de malware bancário brasileiro - presente também no [[s0531-grandoreiro]], [[mekotio]] e [[casbaneiro]]. Organizações nos setores [[financial]] e [[contabilidade]] em toda a região devem considerar-se alvos prioritários. > [!tip] Propagação Worm via E-mail Corporativo > O módulo spreader converte cada máquina infectada em um relay de phishing. Usando o namespace MAPI do Outlook, extrai todos os contatos da vítima e envia PDFs maliciosos em espanhol para toda a lista. Isso cria um **efeito cascata** dentro de organizações - um único dispositivo comprometido pode expor toda a rede de contatos corporativos. ### Distribuição Geográfica ```mermaid pie title Distribuição de Vítimas - Horabot LATAM 2026 "México (93%)" : 5030 "Outros LATAM (7%)" : 354 ``` ### Setores Afetados | Setor | Nível de Risco | Justificativa | |-------|---------------|---------------| | [[financial\|Financeiro]] | Crítico | Alvo direto dos overlays bancários Delphi | | [[contabilidade\|Contabilidade]] | Alto | Vítimas documentadas pela Talos em 2023 | | [[government\|Governo]] | Alto | Perfil de alvo recorrente em LATAM | | [[construcao\|Construção e Engenharia]] | Médio | Documentado pela Talos em campanhas anteriores | | [[distribuição\|Distribuição e Investimentos]] | Médio | Perfil de alvo em campanhas Horabot 2023 | --- ## Mitigação > [!tip] Ações Prioritárias para Defesa > Ordenadas por impacto imediato para organizações na América Latina. ### Defesas Técnicas 1. **Bloquear execução de MSHTA e scripts HTA** via políticas AppLocker ou WDAC. O Stage 1 depende inteiramente de `mshta.exe` para execução inicial. 2. **Monitorar Run dialog e clipboard injection** - implementar alertas para padrões `mshta http://` via `RunMRU` no registro. O vetor ClickFix é detectável por monitoramento comportamental. 3. **Restringir PowerShell** com Constrained Language Mode e logging completo de `ScriptBlock`. Todo o pipeline de download e propagação usa PowerShell. 4. **Bloquear AutoIt em ambientes corporativos** onde não é necessário - o loader exige `AutoIt3.exe` e `Aut2Exe.exe`. Essas ferramentas raramente têm uso legítimo em ambientes empresariais. 5. **Monitorar MAPI/Outlook para spikes de envio** - o propagador usa o namespace MAPI para coletar contatos e disparar e-mails em massa. Spikes anormais de envio são indicadores de comprometimento. 6. **Implementar regras YARA** baseadas nos hashes publicados pela Kaspersky - especialmente detecção das exportações DLL específicas: `dbkFCallWrapperAddr`, `TMethodImplementationIntercept`, `__dbk_fcall_wrapper`. 7. **Bloquear domínios C2** listados na seção de IoCs via DNS sinkhole ou proxy de camada de aplicação. ### Defesas Organizacionais - Treinar usuários para **nunca executar comandos via Run dialog** instruídos por páginas web - a técnica ClickFix depende de falta de consciência situacional. - Configurar **filtros anti-spam** para PDFs com botões grandes e linguagem urgente ("acesse seu arquivo", "visualizar fatura"). - Adotar 2FA resistente a overlay em contas bancárias corporativas - tokens de hardware são preferíveis a códigos SMS. - Revisar e auditar regras de encaminhamento de e-mail no Outlook regularmente. ### Mitigações MITRE Relacionadas - [[M1038 - Execution Prevention]] - AppLocker/WDAC para bloquear MSHTA e AutoIt - [[Antimalware]] - Detecção comportamental (PDM) como a usada pelo Kaspersky - [[M1017 - User Training]] - Conscientização sobre ClickFix e phishing com PDF - [[M1031 - Network Intrusion Prevention]] - Bloqueio de domínios C2 --- ## Referências | Fonte | Confiabilidade | Data | |-------|---------------|------| | [Kaspersky Securelist - relatório técnico completo](https://securelist.com/horabot-campaign/119033/) | A | 2026-03-18 | | [Kaspersky Press Release EN](https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-a-new-horabot-campaign-targeting-victims-in-mexico) | A | 2026-03-18 | | [Kaspersky LATAM Press Release ES](https://latam.kaspersky.com/about/press-releases/nueva-campana-del-malware-horabot-roba-informacion-y-credenciales-bancarias-a-usuarios-en-america-latina) | A | 2026-03-19 | | [CyberSecurityNews - análise técnica](https://cybersecuritynews.com/horabot-banking-trojan-resurfaces-in-mexico/) | B | 2026-03-19 | | [Varutra - detalhes técnicos e IoCs](https://www.varutra.com/ctp/threatpost/postDetails/Horabot-Resurfaces-in-Mexico-with-Phishing-and-Email-Worm-Campaigns/elNyNkJWbVNidGZib3JUZ0drNk8rdz09) | B | 2026-03-20 | | [Cisco Talos - documentação original Horabot](https://blog.talosintelligence.com/new-horabot-targets-americas/) | A | 2023 | | [Security Affairs - histórico Horabot](https://securityaffairs.com/146980/malware/horabot-botnet-latin-america.html) | B | 2023 | > **Autores do relatório Kaspersky Securelist:** Domenico Caldarella e Mateus Salgado (SOC Team Lead, Kaspersky)