Horabot恶意软件瞄准拉美企业：精密钓鱼攻击窃密+自动化横向传播

网络安全公司FortiGuard Labs近日披露，专针对拉丁美洲西班牙语用户的Horabot恶意软件正通过商业发票钓鱼邮件传播。攻击者冒充墨西哥企业发送含ZIP附件的邮件，内藏恶意HTML文件，利用**Base64编码混淆+多阶段脚本(VBScript/AutoIt/PowerShell)**绕过检测：

• 反分析机制
  
  ：脚本会检测虚拟机环境或Avast杀毒软件，若存在则终止运行。
• 信息收集
  
  ：窃取系统信息、网络配置，并通过POST请求回传至C2服务器。
• 载荷解密
  
  ：使用硬编码密钥99521487解密恶意DLL，通过合法工具AutoIt3.exe隐蔽执行。

1. 浏览器数据窃取

• 针对Chromium内核浏览器（Chrome/Edge/Brave/Opera），窃取保存的密码、Cookie及金融凭证。
• 通过DLL内嵌的RCData资源注入虚假登录弹窗，进一步钓鱼骗取账户信息。

2. Outlook邮件自动传播

• 利用Outlook COM接口从受害者邮箱自动发送钓鱼邮件，过滤Gmail/Hotmail/.edu等非目标域名，集中攻击企业联系人。
• 复用西班牙语话术及恶意附件，形成“滚雪球”式扩散。

3. 痕迹清除

• 最终阶段调用脚本a6删除攻击残留，近乎无痕退出，增加取证难度。

• 技术层面
• 启用邮件网关检查ZIP/HTML附件，拦截Base64编码的可执行内容。
• 限制PowerShell/AutoIt等高危脚本的执行权限，监控异常进程链（如AutoIt3.exe加载DLL）。
• 人员层面
• 培训员工识别“紧急发票”“付款异常”等诱导话术，要求二次确认可疑邮件。
• 明确禁止启用附件中的宏或脚本。
• 响应层面
• 若遭感染，立即隔离主机并检查Outlook发件箱、浏览器历史及近期进程日志。

Horabot反映出针对非英语地区的本地化社交工程趋势——攻击者精准模仿区域商业邮件风格，结合自动化渗透工具（如COM接口滥用），极大提升攻击成功率。企业需将此类威胁纳入供应链风险评估，尤其警惕来自“合作方”的非预期附件。