horabot - RunkIntel

# Horabot > [!high] Trojan bancário de origem brasileira ativo desde 2020, que combina roubo de credenciais bancárias, controle do Outlook para propagação de phishing e coleta de dados de navegadores, com 93% das vítimas identificadas no México e impacto crescente em toda a América Latina. ## Visão Geral Horabot é um trojan bancário de origem brasileira ativo desde novembro de 2020, atribuído por Cisco Talos e Kaspersky a atores baseados no Brasil. Diferencia-se de outros trojans bancários por combinar três componentes em um único pacote: um banking trojan em Delphi que exibe overlays falsos de bancos para capturar credenciais e tokens OTP, um spreader de e-mail que abusa do Outlook para propagar phishing automaticamente a partir de sistemas comprometidos, e um infostealer de múltiplos navegadores. Essa arquitetura cria um ciclo de infecção autossustentável dentro de organizações. Com 5.384 vítimas identificadas — 93% no México — e operações confirmadas em Guatemala, Colômbia, Peru, Chile, Argentina e outros países latino-americanos, o Horabot demonstra a capacidade do cibercrime brasileiro de projeção regional. A Kaspersky documentou campanha ativa em março de 2026 com técnicas ClickFix-style e scripts polimórficos, confirmando evolução contínua da ameaça. Para o setor financeiro brasileiro, a capacidade de interceptar tokens OTP de aplicativos bancários representa risco direto a clientes de bancos como Bradesco, Itaú e Caixa Econômica Federal. > [!latam] Impacto no Brasil e LATAM > O Horabot é uma das ameaças de **origem brasileira** mais documentadas com impacto direto em toda a América Latina. O grupo expandiu de vítimas brasileiras para 5.384 alvos, 93% no México, com presença em pelo menos 9 países da região. A campanha ativa de março de 2026 confirma operações em curso. A interceptação de tokens OTP de apps bancários representa risco direto ao sistema financeiro brasileiro, incluindo usuários de **Bradesco**, **Itaú** e **Caixa Econômica Federal**. ## Descrição Horabot é uma ameaça multi-componente de origem brasileira ativa desde pelo menos novembro de 2020, atribuída por Cisco Talos e Kaspersky a atores baseados no Brasil. Diferencia-se de outros trojans bancários por combinar em um único pacote malicioso três funcionalidades distintas: um banking trojan em Delphi, um spreader de e-mail que abusa do Outlook, e um infostealer de navegadores - criando um ciclo de infecção autossustentável dentro de organizações. O componente de banking trojan, detectado sob múltiplos nomes incluindo Casbaneiro, Ponteiro, Metamorfo e Zusy, é uma DLL de 32 bits desenvolvida em Delphi. Ele exibe pop-ups falsos que imitam com fidelidade as interfaces de bancos legítimos para capturar credenciais e senhas OTP (one-time passwords), além de conseguir interceptar tokens de soft banking applications. Essa capacidade de bypass de autenticação de dois fatores é particularmente perigosa para usuários de bancos brasileiros que dependem de tokens via app. A cadeia de infecção inicia com e-mails de phishing em espanhol que simulam recibos de fatura ou comprovantes fiscais, entregando arquivos ZIP com HTML malicioso. Ao abrir o arquivo, o browser redireciona para infraestrutura AWS EC2 controlada pelos atacantes, onde um CAPTCHA falso ou interface de clique leva ao download de um RAR. Após extração, um script PowerShell baixa e executa os payloads principais, incluindo scripts VBScript e AutoIt para reconhecimento do sistema. O malware inclui verificações anti-análise que detectam o Avast Antivirus e ambientes virtuais antes de implantar os componentes finais. O componente de spreader de e-mail concede controle total sobre a caixa de entrada do Outlook da vítima via automação COM, roubando listas de contatos e enviando novos e-mails de phishing - propagando o Horabot lateralmente dentro de redes corporativas sem necessidade de intervenção manual dos atacantes. Campanhas recentes registradas pela Kaspersky em março de 2026 indicam evolução com implementação de técnicas ClickFix-style e scripts polimórficos para evasão de detecção. ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - e-mails de phishing com arquivos ZIP/HTML como vetor inicial - [[t1059-001-powershell|T1059.001 - PowerShell]] - script downloader para recuperar e executar payloads da fase seguinte - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - VBScript para reconhecimento do sistema e execução de payloads - [[t1114-email-collection|T1114 - Email Collection]] - controle do Outlook para roubo de contatos e propagação - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - extração de credenciais de Chrome, Edge, Brave, Yandex, Opera - [[t1056-001-keylogging|T1056.001 - Keylogging]] - captura de keystrokes para coleta de credenciais - [[t1497-virtualization-sandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - detecção de Avast e ambientes virtuais antes do deploy - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - exfiltração via SSL/TLS usando bibliotecas OpenSSL embutidas ## Grupos que Usam - Atores baseados no Brasil (atribuição Cisco Talos e Kaspersky) - grupo não nomeado públicamente com foco em vítimas de língua espanhola na América Latina - Operadores demonstram consciência operacional por meio de reutilização de infraestrutura AWS EC2 e registro geolocalizado de vítimas ## Detecção **Filtragem de e-mail:** Bloquear mensagens com lures temáticos de fatura/nota fiscal em espanhol contendo arquivos ZIP com HTML embutido, especialmente aqueles com URLs redirecionando para instâncias AWS EC2 suspeitas. Regras anti-spam específicas para templates de phishing de bancos espanhóis e latino-americanos devem ser implementadas. **Monitoramento comportamental em endpoint:** Alertar para execução de scripts PowerShell seguida de extração de ZIP e reinicialização do sistema - padrão característico da cadeia de infecção do Horabot. Detectar automação COM do Outlook (`outlook.exe` criando objetos COM fora do fluxo normal do usuário) é indicador forte de comprometimento pelo módulo spreader. **Proteção de navegadores:** Monitorar acesso não autorizado a bancos de dados SQLite de perfis de navegador (Chrome, Edge, Brave) por processos não relacionados ao navegador. EDR com regras específicas para acesso a `Login Data` e `Cookies` de perfis de navegador por processos suspeitos detectam o infostealer antes da exfiltração. **Análise de rede:** Identificar comúnicações TLS com destino a instâncias AWS EC2 em horários incomuns, especialmente se acompanhadas de downloads de arquivos RAR. O uso de OpenSSL embutido (bibliotecas `libeay32.dll` e `ssleay32.dll` do Indy Project) em processos suspeitos é IOC comportamental relevante. ## Relevância LATAM/Brasil O Horabot é uma das ameaças de origem brasileira mais documentadas e com impacto direto em toda a América Latina. Com 5.384 vítimas identificadas - 93% no México, com presença confirmada em Guatemala, Colômbia, Peru, Chile, Argentina, Uruguai, Venezuela e Panamá -, o malware demonstra o crescimento do ecossistema de cibercrime brasileiro com capacidade de projeção regional. A campanha ativa identificada pela Kaspersky em março de 2026 confirma operações em curso, com base de vítimas expandindo desde maio de 2025. Para o setor [[financial|financeiro]] brasileiro, a capacidade do Horabot de interceptar tokens OTP de aplicativos bancários representa ameaça direta aos clientes de bancos como Bradesco, Itaú e Caixa. O setor [[technology|tecnológico]] e de [[construction|construção]] também figuram entre os alvos preferidos do grupo. ## Referências - [Kaspersky - Horabot Campaign Targeting Mexico (2026)](https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-a-new-horabot-campaign-targeting-victims-in-mexico) - [Securelist - Horabot Campaign Analysis](https://securelist.com/horabot-campaign/119033/) - [Cisco Talos - Horabot Banking Trojan](https://securityaffairs.com/146980/malware/horabot-botnet-latin-america.html) - [The Hacker News - Horabot Malware Targets 6 Latin Américan Nations](https://thehackernews.com/2025/05/horabot-malware-targets-6-latin.html) - [Broadcom - Horabot Polymorphic Scripts Analysis](https://www.broadcom.com/support/security-center/protection-bulletin/polymorphic-scripts-and-fake-overlays-inside-the-latest-horabot-surge)