【安全圈】Horabot恶意软件瞄准拉美企业：精密钓鱼攻击窃密+自动化横向传播 ...

关键词

恶意软件

攻击手法：仿冒发票邮件+多层脚本攻击链

网络安全公司FortiGuard Labs近日披露，专针对拉丁美洲西班牙语用户的Horabot恶意软件正通过商业发票钓鱼邮件传播。攻击者冒充墨西哥企业发送含ZIP附件的邮件，内藏恶意HTML文件，利用**Base64编码混淆+多阶段脚本(VBScript/AutoIt/PowerShell)**绕过检测：

• 反分析机制

  ：脚本会检测虚拟机环境或Avast杀毒软件，若存在则终止运行。

• 信息收集

  ：窃取系统信息、网络配置，并通过POST请求回传至C2服务器。

• 载荷解密

  ：使用硬编码密钥99521487解密恶意DLL，通过合法工具AutoIt3.exe隐蔽执行。

1. 浏览器数据窃取

• 针对Chromium内核浏览器（Chrome/Edge/Brave/Opera），窃取保存的密码、Cookie及金融凭证。

• 通过DLL内嵌的RCData资源注入虚假登录弹窗，进一步钓鱼骗取账户信息。

Outlook邮件自动传播

• 利用Outlook COM接口从受害者邮箱自动发送钓鱼邮件，过滤Gmail/Hotmail/.edu等非目标域名，集中攻击企业联系人。

• 复用西班牙语话术及恶意附件，形成“滚雪球”式扩散。

痕迹清除

• 最终阶段调用脚本a6删除攻击残留，近乎无痕退出，增加取证难度。

• 技术层面

• • 启用邮件网关检查ZIP/HTML附件，拦截Base64编码的可执行内容。

  • 限制PowerShell/AutoIt等高危脚本的执行权限，监控异常进程链（如AutoIt3.exe加载DLL）。

• 人员层面

• • 培训员工识别“紧急发票”“付款异常”等诱导话术，要求二次确认可疑邮件。

  • 明确禁止启用附件中的宏或脚本。

• 响应层面

• • 若遭感染，立即隔离主机并检查Outlook发件箱、浏览器历史及近期进程日志。

Horabot反映出针对非英语地区的本地化社交工程趋势——攻击者精准模仿区域商业邮件风格，结合自动化渗透工具（如COM接口滥用），极大提升攻击成功率。企业需将此类威胁纳入供应链风险评估，尤其警惕来自“合作方”的非预期附件。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！