Horabot Malware apunta a víctimas latinoamericanas
Desde fines de 2020, las personas de habla hispana en América Latina se han enfrentado a una nueva forma de malware conocida como Horabot. Este malware de botnet permite que un actor de amenazas tome el control del buzón de correo de Outlook de una víctima, extraiga direcciones de correo electrónico de sus contactos y envíe correos electrónicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buzón de correo de la víctima. Además, el programa botnet ofrece un troyano financiero basado en Windows y una herramienta de spam, que se utilizan para recopilar credenciales bancarias en línea y comprometer Gmail, Outlook y Yahoo! cuentas de correo web con el fin de enviar correos electrónicos no deseados.
Según el investigador de Cisco Talos, Chetan Raghuprasad, la mayoría de las infecciones se han encontrado en México, con un número menor de víctimas identificadas en Uruguay, Brasil, Venezuela, Argentina, Guatemala y Panamá. Se cree que el actor de amenazas responsable de esta campaña tiene su sede en Brasil.
La campaña se dirige principalmente a usuarios de los sectores de contabilidad, construcción e ingeniería, distribución mayorista e inversión, aunque se sospecha que otras industrias de la región también pueden verse afectadas.
Vector de ataque y modo de operación
El ataque comienza con correos electrónicos de phishing que atraen a los destinatarios con señuelos relacionados con los impuestos, alentándolos a abrir un archivo adjunto HTML. Este archivo adjunto contiene un enlace que conduce a un archivo RAR. Al abrir el archivo, se activa la ejecución de un script de descarga de PowerShell, que recupera un archivo ZIP que contiene las cargas útiles principales de un servidor remoto y reinicia la máquina de la víctima.
El reinicio del sistema sirve como punto de partida para el troyano bancario y la herramienta de correo no deseado, lo que permite al actor de amenazas robar datos, registrar pulsaciones de teclas, capturar capturas de pantalla y enviar correos electrónicos de phishing adicionales a los contactos de la víctima.
Chetan Raghuprasad describe esta campaña como un ataque de varias etapas que comienza con un correo electrónico de phishing y procede a entregar cargas utilizando un script de descarga de PowerShell y descargando archivos ejecutables legítimos.
El troyano bancario, escrito en el lenguaje de programación Delphi, es una DLL de Windows de 32 bits que comparte similitudes con otras familias de malware brasileñas como Mekotio y Casbaneiro.
Por otro lado, Horabot es un programa de botnet de phishing basado en PowerShell diseñado específicamente para Outlook. Propaga la infección mediante el envío de correos electrónicos de phishing a todas las direcciones de correo electrónico que se encuentran en el buzón de la víctima, y su propósito es ocultar la infraestructura de phishing del atacante.
Esta divulgación se produce poco después de que SentinelOne atribuyera una campaña prolongada dirigida a más de 30 instituciones financieras portuguesas a un actor de amenazas brasileño desconocido que utiliza malware para robar información desde 2021.
Además, se descubrió un nuevo troyano bancario para Android llamado PixBankBot, que explota los servicios de accesibilidad del sistema operativo para realizar transferencias de dinero fraudulentas a través de la plataforma de pagos brasileña PIX. PixBankBot es el último de una serie de malware dirigido específicamente a los bancos brasileños, uniéndose a las filas de BrasDex, PixPirate y GoatRAT, que se han observado en los últimos meses.