Software malicioso Horabot

Los usuarios de habla hispana en América Latina han sido atacados por un malware de botnet recientemente descubierto conocido como Horabot. Se cree que la campaña de ataque ha estado activa desde al menos noviembre de 2020. El programa amenazante otorga a los actores de amenazas la capacidad de manipular el buzón de Outlook de la víctima, extraer direcciones de correo electrónico de sus contactos y enviar correos electrónicos de phishing que contienen archivos adjuntos HTML corruptos a todas las direcciones dentro el buzón comprometido.

Además de estas capacidades, Horabot Malware implementa un troyano financiero basado en Windows y una herramienta de spam. Estos componentes están diseñados para recolectar credenciales confidenciales de banca en línea y comprometer servicios de correo web populares como Gmail, Outlook y Yahoo! Con acceso a estas cuentas comprometidas, los operadores de malware pueden desatar un torrente de correos electrónicos no deseados a una amplia gama de destinatarios.

Los ciberdelincuentes apuntan a varias industrias diferentes con el malware Horabot

De acuerdo con una firma de ciberseguridad, en México se ha detectado una cantidad importante de infecciones relacionadas con la campaña Horabot. Al mismo tiempo, ha habido menos víctimas identificadas en países como Uruguay, Brasil, Venezuela, Argentina, Guatemala y Panamá. Se cree que el actor de amenazas responsable de la campaña tiene su sede en Brasil.

La campaña en curso está dirigida principalmente a usuarios involucrados en los sectores de contabilidad, construcción e ingeniería, distribución mayorista e inversión. Sin embargo, se sospecha que otras industrias de la región también pueden verse afectadas por esta amenaza.

El malware Horabot se entrega a través de una cadena de ataque de varias etapas

La campaña de ataque comienza con correos electrónicos de phishing que utilizan temas relacionados con los impuestos para atraer a los destinatarios a abrir un archivo adjunto HTML. Dentro de este archivo adjunto, hay un enlace incrustado que conduce a un archivo RAR.

Al abrir el archivo, se ejecuta un script de descarga de PowerShell, que es responsable de recuperar un archivo ZIP que contiene las cargas útiles principales desde un servidor remoto. Además, la máquina se reinicia durante este proceso.

El reinicio del sistema sirve como punto de partida para el troyano bancario y la herramienta de correo no deseado, lo que permite al actor de amenazas recopilar datos, registrar pulsaciones de teclas, capturar capturas de pantalla y distribuir más correos electrónicos de phishing a los contactos de la víctima.

El troyano bancario utilizado en la campaña es una DLL de Windows de 32 bits codificada en el lenguaje de programación Delphi. Presenta similitudes con otras familias de malware brasileñas, como Mekotio y Casbaneiro.

Por otro lado, Horabot es un programa de botnet de phishing diseñado para Outlook. Está escrito en PowerShell y posee la capacidad de enviar correos electrónicos de phishing a todas las direcciones de correo electrónico que se encuentran en el buzón de la víctima, propagando así la infección. Esta táctica es una estrategia deliberada empleada por el actor de amenazas para reducir el riesgo de exponer su infraestructura de phishing.