# HoraceBot > Tipo: **malware** (backdoor/bot) · [Pesquisa de campo] ## Descrição [[horacebot|HoraceBot]] (às vezes referênciado como Horabot) é um malware com capacidades de backdoor e bot identificado em análises de segurança a partir de 2020. O malware opera como um agente de controle remoto que permite ao operador executar comandos no sistema comprometido, baixar e executar payloads adicionais, e realizar reconhecimento do ambiente. Sua arquitetura é compatível com ferramentas de acesso inicial ou de segundo estágio em campanhas multi-fase, onde diferentes implantes são usados para diferentes objetivos operacionais. O HoraceBot estabelece persistência via chaves de registro de inicialização do Windows, garantindo sobrevivência após reinicializações do sistema sem necessidade de reinstalação. A comunicação C2 usa HTTP padrão, tornando o tráfego difícil de distinguir de navegação legítima em ambientes sem inspeção de conteúdo. As capacidades de descoberta incluem enumeração de arquivos e informações do sistema - típico da fase de reconhecimento pós-acesso inicial que precede a exfiltração de dados ou a implantação de payloads destrutivos. Como muitos malwares de bot de uso geral, o HoraceBot pode ser empregado em diferentes tipos de campanha dependendo da intenção do operador: espionagem corporativa, distribuição de spam, participação em botnets de DDoS, ou como loader para ransomware. A flexibilidade de propósito é característica de ferramentas de acesso remoto de uso geral que circulam em mercados de crime cibernético underground. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Detecção Para detectar o HoraceBot, monitore conexões HTTP para domínios ou IPs com baixa reputação iniciadas por processos não-navegadores. Alertas para criação de chaves de registro de inicialização por processos incomuns (Event ID 4657 com path `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`) são eficazes. Análise de padrões de beacon - conexões HTTP/S para o mesmo destino em intervalos regulares - é um indicador comportamental de C2. Ferramentas de sandbox que analisam amostras suspeitas revelam o comportamento de persistência e comunicação C2 do HoraceBot. ## Relevância LATAM/Brasil Malwares de backdoor genérico como o HoraceBot são altamente prevalentes no Brasil, onde grupos de crime cibernético locais frequentemente adaptam ou reimplementam ferramentas com funcionalidades similares. O modelo de ataque - acesso inicial, persistência, reconhecimento, payload secundário - é o padrão de ataques que afetam empresas brasileiras de médio porte. Defesas baseadas em comportamento, não apenas em assinaturas, são essenciais para detecção dessas ameaças. ## Referências - [MITRE ATT&CK - T1059.003](https://attack.mitre.org/techniques/T1059/003/) - [Cisco Talos - Horabot](https://blog.talosintelligence.com/horabot/)