摘要:网络安全公司FortiGuard Labs近日披露,专针对拉丁美洲西班牙语用户的Horabot恶意软件正通过商业发票钓鱼邮件传播。攻击者冒充墨西哥企业发送含ZIP附件的邮件,内藏恶意HTML文件,利用**Base64编码混淆+多阶段脚本(VBScript/Au
恶意软件
攻击手法:仿冒发票邮件+多层脚本攻击链
网络安全公司FortiGuard Labs近日披露,专针对拉丁美洲西班牙语用户的Horabot恶意软件正通过商业发票钓鱼邮件传播。攻击者冒充墨西哥企业发送含ZIP附件的邮件,内藏恶意HTML文件,利用**Base64编码混淆+多阶段脚本(VBScript/AutoIt/PowerShell)**绕过检测:
反分析机制:脚本会检测虚拟机环境或Avast杀毒软件,若存在则终止运行。
信息收集:窃取系统信息、网络配置,并通过POST请求回传至C2服务器。
载荷解密:使用硬编码密钥99521487解密恶意DLL,通过合法工具AutoIt3.exe隐蔽执行。
核心危害:盗密+自动化横向渗透浏览器数据窃取
针对Chromium内核浏览器(Chrome/Edge/Brave/Opera),窃取保存的密码、Cookie及金融凭证。
通过DLL内嵌的RCData资源注入虚假登录弹窗,进一步钓鱼骗取账户信息。
Outlook邮件自动传播
利用Outlook COM接口从受害者邮箱自动发送钓鱼邮件,过滤Gmail/Hotmail/.edu等非目标域名,集中攻击企业联系人。
复用西班牙语话术及恶意附件,形成“滚雪球”式扩散。
痕迹清除
最终阶段调用脚本a6删除攻击残留,近乎无痕退出,增加取证难度。
防御建议:企业需多层级布防技术层面启用邮件网关检查ZIP/HTML附件,拦截Base64编码的可执行内容。
限制PowerShell/AutoIt等高危脚本的执行权限,监控异常进程链(如AutoIt3.exe加载DLL)。
人员层面培训员工识别“紧急发票”“付款异常”等诱导话术,要求二次确认可疑邮件。
明确禁止启用附件中的宏或脚本。
响应层面若遭感染,立即隔离主机并检查Outlook发件箱、浏览器历史及近期进程日志。
行业警示:拉美地区成定向攻击温床Horabot反映出针对非英语地区的本地化社交工程趋势——攻击者精准模仿区域商业邮件风格,结合自动化渗透工具(如COM接口滥用),极大提升攻击成功率。企业需将此类威胁纳入供应链风险评估,尤其警惕来自“合作方”的非预期附件。
网罗圈内热点 专注网络安全
支持「安全圈」就点个三连吧!
来源:爱喝芋泥奶茶的小唐
