Klickt ein Opfer auf einen im PDF-Dokument eingebetteten Link, wird es auf eine schädliche Adresse geleitet und automatisch ein ZIP-Archiv heruntergeladen. Dieses führt in der Folge zur Ausführung von Zwischen-Payloads in Form einer HTML Application (HTA) und von VBS-Skripten.
Das VBS-Skript führt Umgebungs- und Anti-Analyse-Prüfungen durch, die jenen aus Horabot-Artefakten ähneln — darunter eine Prüfung auf die Antivirensoftware Avast. Anschließend lädt es weitere Stufen von einem entfernten Server nach. Zu den heruntergeladenen Dateien zählen AutoIt-basierte Loader, die jeweils verschlüsselte Payload-Dateien mit den Endungen “.ia” oder “.at” entpacken und ausführen. Am Ende stehen zwei Schadsoftware-Familien: Casbaneiro (“staticdata.dll”) und Horabot (“at.dll”).
Casbaneiro ist die primäre Schadsoftware, während Horabot als Verbreitungsmechanismus dient. Das in Delphi geschriebene DLL-Modul von Casbaneiro kontaktiert einen Command-and-Control-Server (C2), um ein PowerShell-Skript abzurufen. Dieses nutzt Horabot, um die Schadsoftware per Phishing-E-Mail an zuvor aus Microsoft Outlook abgegriffene Kontakte zu verteilen.
Laut BlueVoyant verteilt das Skript dabei keine statische Datei oder fest codierte Adresse wie ältere Horabot-Kampagnen. Stattdessen sendet es eine HTTP-POST-Anfrage an eine entfernte PHP-Schnittstelle (hxxps://tt.grupobedfs[.]com/…/gera_pdf.php) und übergibt eine zufällig generierte vierstellige PIN. “Der Server fälscht dynamisch ein maßgeschneidertes, passwortgeschütztes PDF, das eine spanische Gerichtsladung imitiert”, heißt es bei BlueVoyant. Dieses werde an den infizierten Rechner zurückgeschickt; das Skript durchlaufe dann die gefilterte E-Mail-Liste und versende über das E-Mail-Konto des kompromittierten Nutzers maßgeschneiderte Phishing-Mails mit dem neu erzeugten PDF-Anhang.
Zusätzlich kommt eine zweite, mit Horabot verbundene DLL (“at.dll”) zum Einsatz, die als Spam- und Konto-Hijacking-Werkzeug fungiert und Konten bei Yahoo, Live und Gmail ins Visier nimmt, um Phishing-Mails über Outlook zu versenden. Horabot wird Einschätzungen zufolge seit mindestens November 2020 bei Angriffen gegen Ziele in Lateinamerika eingesetzt.
Water Saci hat in der Vergangenheit WhatsApp Web als Verbreitungsweg genutzt, um Banking-Trojaner wie Maverick und Casbaneiro wurmartig zu streuen. In jüngeren Kampagnen, auf die Kaspersky hinweist, kam dagegen die Social-Engineering-Taktik ClickFix zum Einsatz, um Nutzer zur Ausführung schädlicher HTA-Dateien zu verleiten und damit Casbaneiro sowie den Horabot-Verbreiter auszurollen.
Nach Einschätzung der Forscher zeigt die Verbindung von ClickFix-Social-Engineering, dynamischer PDF-Erzeugung und WhatsApp-Automatisierung einen wandlungsfähigen Angreifer, der laufend neue und vielfältige Angriffswege entwickelt. Der Akteur unterhalte eine zweigeteilte, mehrgleisige Infrastruktur und setze parallel die WhatsApp-zentrierte Maverick-Kette sowie die auf ClickFix und E-Mail gestützten Horabot-Angriffswege ein.
