在最近的一项调查中，FortiGuard Labs 揭露了一个复杂的网络钓鱼活动，该活动传播了 Horabot 恶意软件系列，这是一种针对拉丁美洲讲西班牙语的用户的欺骗性强大威胁。Horabot 利用熟悉的业务通信（西班牙语的假发票电子邮件）将社会工程与分层脚本技术相结合，以实现持久性、凭据盗窃和自动横向传播。

根据 Fortinet 的说法，Horabot“主要针对讲西班牙语的用户”，通过发送网络钓鱼电子邮件，“冒充发票或财务文件，诱骗受害者打开恶意附件”。这些电子邮件通常被精心设计成来自墨西哥企业的合法信件，其中包含带有恶意 HTML 文件的 ZIP 附件。在内部，HTML 文件包含 Base64 编码的数据，这些数据通过远程服务器启动多阶段感染链。

感染链结合了 VBScript、AutoIt 和 PowerShell，以逃避检测并传递有效负载。VBScript 阶段执行反分析检查，例如如果存在 Avast 防病毒软件或系统似乎在虚拟机中运行，则终止该检查。然后，它执行侦察，收集系统和网络详细信息，并通过 POST 请求将它们发送到攻击者控制的基础设施。

AutoIt 脚本在解密和执行有效负载方面起着核心作用。该恶意软件会下载 AutoIt3.exe 和 Aut2Exe.exe 等合法的 AutoIt 工具，以及混淆的有效负载。它使用硬编码密钥 （99521487），解密恶意 DLL 并通过 AutoIt 执行它，确保“这些关键文件的属性是隐藏的、系统的和只读的”。

一旦激活，Horabot 的解密 DLL 就会从基于 Chromium 的浏览器（如 Chrome、Edge、Brave 和 Opera）中窃取有价值的信息，包括作系统详细信息、防病毒存在和敏感浏览器数据。该恶意软件还能够注入虚假的弹出窗口，旨在网络钓鱼以获取登录凭据，通过将这些覆盖层嵌入 DLL 的 RCData 部分，这种作变得更加隐蔽。

Horabot 特别危险的是它能够通过受害者的 Outlook 电子邮件客户端传播自身。Fortinet 解释说，Horabot“利用 Outlook COM 自动化从受害者的邮箱发送网络钓鱼邮件”，使其能够在公司和个人网络中传播。