# Horabot LATAM Campaign > [!danger] Malware bancario brasileiro autopropagante via Outlook - ativo em 10 paises da América Latina > A Horabot LATAM Campaign e uma operação de crime financeiro de origem brasileira, ativa desde novembro de 2020, que distribui o trojan bancario Delphi Horabot contra usuarios de lingua espanhola em toda a América Latina via phishing que se autopropaga pelos contatos do Outlook de cada vitima. Em marco de 2026, um banco de dados exposto revelou 5.384 dispositivos comprometidos, 93% no Mexico. ## Visão Geral A **Horabot LATAM Campaign** e uma campanha de fraude financeira e espionagem de longo prazo conduzida por um grupo de ameaça de origem brasileira, ativa desde pelo menos novembro de 2020. A campanha distribui o malware [[horabot|Horabot]] - um botnet de email combinado com um trojan bancario Delphi - contra usuarios de lingua espanhola em toda a América Latina, com foco primario no Mexico e impacto documentado em pelo menos 10 paises da regiao. A campanha e notavel pela sua cadeia de infecção altamente complexa, uso de ferramentas legitimas para evasão de defesas, e capacidade de autopropagação: cada sistema comprometido torna-se um no de distribuição de phishing, enviando emails maliciosos para todos os contatos da vitima via Outlook COM automation. O código interno do spreader PowerShell foi escrito em portugues brasileiro coloquial, e a chave de criptografia referência a expressao *"pega a visao"* - evidências diretas de operadores brasileiros. Em marco de 2026, a Kaspersky identificou uma variante atualizada com 5.384 vitimas confirmadas em banco de dados exposto do atacante, com 93% delas localizadas no Mexico. **Motivacao:** Financeira - roubo de credenciais bancarias, fraude via overlay attacks, acesso nao autorizado a contas online. **Relevância LATAM/Brasil:** Esta e uma campanha originalmente **criada no Brasil** por operadores brasileiros, mas direcionada contra usuarios de lingua espanhola na América Latina. O Brasil funciona como base operacional; Mexico, Guatemala, Colombia, Peru, Chile e Argentina sao os principais alvos. A campanha representa uma ameaça significativa ao setor [[financial]] da regiao, afetando correntistas de dezenas de bancos latinoamericanos. ```mermaid gantt title Horabot LATAM Campaign - Linha do Tempo dateFormat YYYY-MM section Fases Operacoes iniciais (LATAM) :2020-11, 2023-06 Documentacao publica (Talos) :milestone, 2023-06, 1d Expansao 6 paises (FortiGuard) :2025-04, 2025-06 Nova variante CAPTCHA falso :2025-05, 2026-03 Kaspersky detecta 5.384 vitimas :crit, 2026-03, 2026-04 ``` ## Cronologia | Data | Evento | |------|--------| | Nov 2020 | Primeiras atividades documentadas do Horabot contra alvos latinoamericanos | | Jun 2023 | Cisco Talos pública primeira análise técnica detalhada; maioria das vitimas no Mexico | | 2024 | Trustwave SpiderLabs documenta nova campanha com similaridades ao Horabot | | Abr 2025 | FortiGuard Labs identifica campanha ativa contra 6 paises LATAM (Mexico, Guatemala, Colombia, Peru, Chile, Argentina) | | Mai 2025 | Inicio documentado da base de dados de vitimas exposta pelo atacante | | Mai 2025 | Fortinet pública análise de campanha de phishing com faturas falsas e arquivos ZIP | | Mar 2026 | Kaspersky MDR identifica nova campanha com CAPTCHA falso como vetor inicial | | Mar 2026 | Kaspersky encontra banco de dados de vitimas exposto: 5.384 infectados, 93% no Mexico | | Mar 2026 | Kaspersky pública relatorio público; Securelist pública análise técnica detalhada | ## Attack Flow ```mermaid graph TB A["🎯 Phishing Inicial<br/>Email com fatura falsa em espanhol"] --> B["📎 Arquivo ZIP / HTML Malicioso<br/>Conteudo Base64 codificado"] B --> C["🌐 Download HTA ou RAR<br/>Servidor AWS EC2 do atacante"] C --> D["💻 PowerShell Downloader<br/>Verificação anti-sandbox/AV"] D --> E["🔧 AutoIt + VBScript<br/>Descriptografa DLL em memoria"] E --> F["🏦 Trojan Bancario Delphi<br/>Overlay de jánelas + keylogger"] E --> G["📧 Spreader PowerShell<br/>Coleta contatos Outlook MAPI"] F --> H["💸 Roubo de Credenciais<br/>Bancarias + 2FA + soft tokens"] G --> I["📨 Propagação Lateral<br/>Phishing para todos os contatos"] classDef initial fill:#3a1a1a,color:#ff9999,stroke:#e74c3c classDef payload fill:#2a1a4a,color:#ccaaff,stroke:#8e44ad classDef impact fill:#1a3a1a,color:#aaffaa,stroke:#27ae60 class A,B,C initial class D,E payload class F,G,H,I impact ``` ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Phishing: Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Emails de phishing imitando faturas fiscais, notificacoes tributarias e documentos financeiros em espanhol | | Execution | User Execution | [[t1204-user-execution\|T1204]] | Vitima executa arquivo HTA, ZIP ou HTML malicioso ao abrir o anexo | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | Script PowerShell multi-estagio baixa payloads adicionais, coleta contatos e envia phishing | | Execution | VBScript | [[t1059-005-vbscript\|T1059.005]] | VBScript de mais de 400 linhas realiza coleta de sistema e descarta componentes AutoIT | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Polimorfismo server-side: cada requisicao entrega versao ligeiramente diferente do código | | Defense Evasion | Process Injection | [[t1055-process-injection\|T1055]] | DLL do trojan bancario carregada diretamente em memoria via AutoIT (sem toque em disco) | | Defense Evasion | Virtualization/Sandbox Evasion | [[t1497-virtualization-evasion\|T1497]] | Script verifica presenca de Avast AV e ambientes virtuais antes de continuar | | Persistence | Registry Run Keys | [[t1547-001-registry-run-keys\|T1547.001]] | Atalho LNK criado na pasta Startup para execução automatica no login | | Credential Access | Input Capture | [[t1056-input-capture\|T1056]] | Overlay de jánelas falsas de bancos sobre a interface real; captura de credenciais durante sessao bancaria ativa | | Credential Access | Steal Web Session Cookie | [[t1539-steal-web-session-cookie\|T1539]] | Coleta credenciais de navegadores (Brave, Yandex, Opera, Edge, Chrome, etc.) | | Collection | Email Collection | [[t1114-email-collection\|T1114]] | Acesso ao namespace MAPI do Outlook para coleta de enderecos de email dos contatos | | Lateral Movement | Internal Spearphishing | [[t1534-internal-spearphishing\|T1534]] | Spreader PowerShell envia phishing a partir da caixa de email da vitima para todos os contatos | ## Malware e Ferramentas - [[horabot|Horabot]] - botnet de email escrito em PowerShell; controla caixa do Outlook da vitima e propaga phishing automaticamente - [[casbaneiro|Casbaneiro]] / Ponteiro / Metamorfo - trojan bancario Delphi de 32 bits; overlays falsos de bancos, keylogging, captura de tela, roubo de 2FA e soft tokens - **AutoIT** - ferramenta legitima abusada para carregar DLL bancaria diretamente em memoria - **VBScript** - mais de 400 linhas de código de orquestracao, polimorfismo server-side, coleta de sistema e descarte de payloads ## Vitimas e Alvos **Setores alvejados:** - [[financial]] - bancos, fintechs, corretoras; foco em roubo direto de credenciais bancarias e contorno de 2FA - Contabilidade e auditoria - alvos secundarios identificados por Cisco Talos - Construcao e engenharia, distribuição e investimentos - verticais afetados por propagação lateral via email **Paises com vitimas confirmadas:** - Mexico - epicentro; 93% dos 5.384 infectados confirmados em marco de 2026 - Brasil - base operacional dos atacantes; vitimas limitadas documentadas - Guatemala, Colombia, Peru, Chile, Argentina - expansao documentada em campanha de 2025 (FortiGuard) - Venezuela, Uruguay, Panama - infeccoes limitadas documentadas por Cisco Talos em 2023 **Impacto documentado:** - 5.384 vitimas confirmadas em banco de dados exposto do atacante (Kaspersky, marco 2026) - Bancos alvo incluem dezenas de instituicoes mexicanas e latinoamericanas rastreadas pelo trojan bancario - Capacidade de roubo de soft tokens e códigos 2FA, ampliando o risco de fraude bancaria mesmo com autenticação de dois fatores ## Impacto LATAM A campanha Horabot representa uma ameaça emblematica para o ecossistema de segurança latinoamericano: e produzida por operadores **brasileiros**, mas direcionada a usuarios de lingua **espanhola** na regiao. Isso cria um gap de atribuicao cultural - as soluções de segurança brasileiras tem maior visibilidade, mas as vitimas estao no Mexico e em outros paises de lingua espanhola. Para o [[financial|setor financeiro]] brasileiro, o risco e indireto mas real: operadores brasileiros detentores desse conhecimento podem facilmente redirecionar campanhas para instituicoes financeiras brasileiras, como já fazem com trojan bancarios similares ([[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]]). A overlap com familias como [[casbaneiro|Casbaneiro]] e [[mekotio|Mekotio]] (todas de origem brasileira) sugere um ecossistema de cibercrime financeiro compartilhado no Brasil que exporta ameaças para toda a regiao LATAM. O modelo de propagação automatica via Outlook e especialmente preocupante em ambientes corporativos latino-americanos com alta dependência de email para comunicação de negocios e pouca segmentacao de rede. ## Indicadores de Comprometimento **Padroes de detecção de rede:** - Trafego C2 com quadros delimitados por `##` duplos (cifra XOR estática - detectavel por Suricata) - Comúnicação TCP customizada com tags estruturadas **Padroes de comportamento no host:** - Execução suspeita de `mshta.exe` a partir de paginas CAPTCHA falsas (vetor 2026) - Atalhos LNK na pasta Startup com nomes aludem a faturas ou documentos - Processo AutoIT carregando DLL em memoria sem escrita em disco - Regras YARA: trojan Delphi Horabot e loader AutoIT (públicadas pela Kaspersky/Securelist, marco 2026) **Infraestrutura de C2:** - Instancias EC2 da AWS usadas como servidores de staging (historico; rotacionadas frequentemente) - Dominios de C2 rotacionados regularmente para evasão de blocklists ## Mitigação - Bloquear execução de arquivos HTA (`mshta.exe`) a partir de fontes nao confiaveis - Monitorar execução suspeita de `mshta.exe` - especialmente a partir de paginas web e downloads - Restringir acesso do Outlook COM automation a scripts e processos nao autorizados - Implementar regras YARA e Suricata públicadas pela Kaspersky (Securelist, marco 2026) para detecção - Desativar macros VBScript em ambientes corporativos onde nao sao necessárias - Treinar usuarios para identificar phishing de faturas e documentos fiscais - especialmente em espanhol - Monitorar pasta Startup por novos atalhos LNK criados por processos externos - Usar sandbox com inspecao de comportamento dinâmico para emails com anexos ZIP/HTML **Atores:** [[horabot-operators|Horabot Operators]] **TTPs chave:** [[t1566-phishing|T1566]] · [[t1059-001-powershell|T1059.001]] · [[t1204-user-execution|T1204]] · [[t1114-email-collection|T1114]] · [[t1027-obfuscated-files|T1027]] **Malware:** [[horabot|Horabot]] · [[casbaneiro|Casbaneiro]] **Setores impactados:** [[financial]] · contabilidade · construcao **Paises:** Mexico · Brasil · Guatemala · Colombia · Peru · Chile · Argentina **Campanhas relacionadas:** [[grandoreiro-banking-campaign|Grandoreiro Banking Campaign]] · [[mekotio|Mekotio Campaign]] --- *Fonte: [Cisco Talos - Horabot botnet targets Latin América](https://blog.talosintelligence.com/introducing-horabot/) (Jun 2023)* *Fonte: [The Hacker News - Horabot Malware Targets 6 Latin Américan Nations](https://thehackernews.com/2025/05/horabot-malware-targets-6-latin.html) (Mai 2025)* *Fonte: [Kaspersky - New Horabot campaign targeting Mexico](https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-a-new-horabot-campaign-targeting-victims-in-mexico) (Mar 2026)* *Fonte: [Cybersecurity News - Horabot Banking Trojan Resurfaces](https://cybersecuritynews.com/horabot-banking-trojan-resurfaces-in-mexico/) (Mar 2026)* *Fonte: [LATAM Financial Sector Threat Landscape 2025 - Digi Américas/Duke/Recorded Future](https://digiamericas.org/wp-content/uploads/2025/06/FinancialSector_EN.pdf) (Jun 2025)*