Die Cyberkriminalität hat in den letzten Jahren stetig an Komplexität und Gefährlichkeit zugenommen. Besonders bedrohlich wirkt die Horabot-Malware, die derzeit in einer raffinierten Phishing-Kampagne speziell auf Windows-Anwender in sechs lateinamerikanischen Staaten abzielt. Die betroffenen Länder sind Mexiko, Guatemala, Kolumbien, Peru, Chile und Argentinien. Diese gezielten Angriffe sind nicht nur ein Beweis für die zunehmende Professionalisierung krimineller Hackergruppen, sondern unterstreichen auch die Bedeutung von wachsamem Verhalten bei digitalen Kommunikationswegen. Das Hauptangriffsszenario von Horabot basiert auf manipulierten E-Mails, die als Rechnungen oder andere finanzbezogene Dokumente getarnt sind.
Diese Täuschung ist besonders effektiv, da sie sich an alltägliche Geschäftsabläufe anlehnt und dadurch bei den Empfängern Vertrauen erweckt. Sobald die Opfer die beigefügten ZIP-Archive öffnen, in denen angeblich PDF-Dokumente enthalten sind, ist der Schaden bereits angerichtet. Tatsächlich befindet sich in den Archiven eine bösartige HTML-Datei, welche per Base64 kodiert ist und als Zwischenstation dient, um weitere Schadsoftware von einem entfernten Server herunterzuladen. Diese zweite Schadsoftware ist beispielsweise eine HTML-Anwendung (HTA-Datei), welche wiederum ein Skript in das System einschleust. Dieses Skript basiert auf Visual Basic Script (VBScript) und führt zunächst umfangreiche Systemchecks durch.
Dabei wird unter anderem geprüft, ob eine Avast-Antivirensoftware installiert ist, oder ob das System in einer virtuellen Umgebung läuft. Sollte eines dieser Merkmale erkannt werden, beendet die Malware ihre Arbeit, um einer Entdeckung zu entgehen. Wird keine dieser Bedingungen erfüllt, beginnt der eigentliche Angriff. Die Horabot-Malware sammelt sodann umfangreiche Informationen über das befallene System und übermittelt diese an externe Server. Gleichzeitig wird eine weitere Schadsoftware-Komponente nachgeladen, die unter anderem in Form eines AutoIt-Skripts eine bösartige DLL-Datei ausführt.
Diese DLL beinhaltet einen sogenannten Banking-Trojaner, der darauf spezialisiert ist, Finanzdaten abzugreifen und sensible Informationen zu entwenden. Neben diesen klassischen Angriffsmethoden fällt Horabot durch eine äußerst perfide Funktionalität auf: Das Phishing-Skript scannt das Outlook-Adressbuch des Opfers nach Kontakten und verschickt eigenständig weitere bösartige E-Mails. Dadurch verbreitet sich die Malware lateral innerhalb von Unternehmensnetzwerken oder im privaten Umfeld. Diese Methode der Selbstverbreitung über legitime Mailpostfächer erschwert die Erkennung und Eindämmung erheblich. Darüber hinaus profitiert Horabot von der Überwachung des Nutzerverhaltens.
Die Malware kann gefälschte Pop-up-Fenster einblenden, die darauf ausgelegt sind, Nutzer zur Eingabe sensibler Zugangsdaten zu verleiten. Dies geschieht in Echtzeit und täuschend echt, so dass viele Betroffene nicht bemerken, dass sie Opfer einer Cyberattacke sind. Dabei nimmt Horabot nicht nur die populärsten Webbrowser wie Google Chrome oder Microsoft Edge ins Visier, sondern auch weniger bekannte wie Brave, Yandex oder Comodo Dragon. Diese breite Palette an Zielprogrammen macht die Malware besonders gefährlich. Die Herkunft der Angriffe wird nach Einschätzung von Sicherheitsforschern aus Brasilien vermutet.
Bereits seit November 2020 ist Horabot bekannt, wurde damals aber vor allem innerhalb lateinamerikanischer Länder registriert. Die neueste Kampagne mit besonders ausgeklügeltem Angriffsschema wurde im April 2025 zum ersten Mal umfassend beobachtet und dokumentiert. Die Forschungsergebnisse basieren auf Analysen von Fortinet FortiGuard Labs sowie Cisco Talos. Für Unternehmen in den betroffenen Ländern stellen diese Attacken eine erhebliche Bedrohung dar, da viele Geschäftsprozesse heutzutage digital abgewickelt werden. Das Risiko besteht nicht nur im Verlust von Zugriffsdaten und sensiblen Informationen, sondern auch im Vertrauensverlust bei Kunden und Geschäftspartnern.
Daher sind präventive Sicherheitsmaßnahmen wichtiger denn je. Als wirksamer Schutz gegen Horabot empfiehlt es sich, dass Nutzer bei unerwarteten oder ungewöhnlich anmutenden E-Mails äußerste Vorsicht walten lassen. Insbesondere Anlagen in Form von ZIP-Dateien sollten nicht ungeprüft geöffnet werden. Die Installation eines aktuellen und leistungsfähigen Antivirenprogramms ist unerlässlich, ebenso wie regelmäßige Updates des Betriebssystems und aller relevanten Softwarekomponenten. Unternehmen sollten verstärkt auf Mitarbeiterschulungen setzen, um das Bewusstsein für Phishing und Social Engineering zu schärfen.
Simulationen und Trainings helfen dabei, typische Angriffsszenarien besser zu erkennen und entsprechend zu reagieren. Darüber hinaus kann der Einsatz von E-Mail-Sicherheitslösungen, wie Spam- und Malware-Filter, die Anzahl potentiell gefährlicher Nachrichten deutlich reduzieren. Technisch gesehen bietet sich der Einsatz von Mehrfaktorauthentifizierung (MFA) für alle wichtigen Dienste an, um den Diebstahl von Zugangsdaten wirkungsvoll einzudämmen. Zudem sollten Mitarbeiter angehalten werden, nur offiziell genehmigte Software aus vertrauenswürdigen Quellen zu installieren und keine Makros oder Skripte in Dokumenten zu aktivieren, deren Herkunft unbekannt ist. Die Horabot-Malware zeigt exemplarisch die wachsende Gefahr von zielgerichteten Angriffen, die genau auf spezifische Regionen und Sprachgemeinschaften abgestimmt sind.
Lateinamerika, mit seiner großen Anzahl spanisch- und portugiesischsprachiger Nutzer, ist dabei ein bevorzugtes Ziel. Die Angreifer machen sich regionale Besonderheiten zunutze, um die Phishing-Mails glaubwürdiger erscheinen zu lassen und so die Erfolgsquote zu steigern. Zukünftig ist damit zu rechnen, dass ähnliche Kampagnen vermehrt auftreten werden, nicht nur in Lateinamerika, sondern auch in anderen Teilen der Welt. Deshalb ist ein ganzheitlicher Sicherheitsansatz unerlässlich, der technische, organisatorische und menschliche Faktoren gleichermaßen berücksichtigt. Die Erkenntnisse aus der Horabot-Kampagne unterstreichen, wie wichtig internationale Zusammenarbeit im Bereich der Cyberabwehr ist.
Nur durch den Austausch von Informationen zwischen Sicherheitsfirmen, Behörden und Unternehmen können solche Angriffe frühzeitig erkannt und gestoppt werden. Abschließend bleibt festzuhalten, dass die Gefahr durch Schadsoftware wie Horabot allgegenwärtig ist. Wachsamkeit, kontinuierliche Weiterbildung und moderne Sicherheitstechnologien sind Schlüssel, um das persönliche und betriebliche Risiko zu minimieren. Wer proaktiv handelt, schützt sich nicht nur vor Datenverlust, sondern stärkt auch das Vertrauen in digitale Kommunikationswege und Geschäftsprozesse.
![3D rendering of the Colosseum captures its architectural genius, symbolic power [video]](/images/F8E9FC5E-24DA-482E-BD7F-116DD718A23C)
