Los investigadores de Cisco Talos han observado que se está implementando una botnet previamente no identificada, denominada Horabot, que está dirigida a usuarios de habla hispana en las Américas. La botnet se utiliza para entregar un troyano bancario y una herramienta de spam a los sistemas infectados. Horabot ha estado activo desde al menos noviembre de 2020.
El bot permite a los operadores controlar el buzón de Outlook de la víctima, robar las direcciones de correo electrónico de los contactos y enviar correos electrónicos de phishing con archivos adjuntos HTML maliciosos. El troyano bancario implementado como parte de la campaña puede recopilar las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información del sistema operativo y pulsaciones de teclas. El malware también permite eludir 2FA al robar códigos de seguridad de un solo uso y puede robar tokens de software de las aplicaciones bancarias en línea de la víctima.
La herramienta de spam permite comprometer Gmail, Outlook y Yahoo!, dichas cuentas de correo web se usan para enviar correos electrónicos no deseados.
La mayoría de las víctimas están en México, así como se informaron infecciones limitadas en Uruguay, Brasil, Venezuela, Argentina, Guatemala y Panamá. Según el análisis de Talos, los actores de amenazas detrás de la campaña pueden estar ubicados en Brasil.
La cadena de ataque comienza con un correo electrónico de phishing con temas fiscales escrito en español, que se hace pasar por una notificación de recibo de impuestos. El mensaje está escrito para engañar a los usuarios para que abran el archivo HTML malicioso adjunto.
«Cuando una víctima abre el archivo adjunto HTML, se inicia una URL incrustada en el navegador de la víctima, que redirige a otro archivo HTML malicioso desde una instancia EC2 de AWS controlada por el atacante». «El contenido que se muestra en el navegador de la víctima los atrae para que hagan clic en un hipervínculo malicioso incrustado que descarga un archivo RAR».
Al abrir el contenido del archivo, se ejecuta un script de descarga de PowerShell. El script recupera un archivo ZIP que contiene las principales cargas útiles de un servidor remoto y luego reinicia la máquina de la víctima.
El troyano bancario y la herramienta de spam se ejecutan después de reiniciar el sistema.
El troyano bancario empleado en esta campaña es una DLL de Windows de 32 bits escrita en el lenguaje de programación Delphi, los investigadores notaron superposiciones con otros troyanos brasileños como Mekotio y Casbaneiro.
«Al analizar los correos electrónicos de phishing utilizados en la campaña, Talos identificó que los usuarios de organizaciones en varias verticales comerciales, incluidas empresas de contabilidad, construcción e ingeniería, distribución mayorista y empresas de inversión, se han visto afectados. Sin embargo, el atacante utiliza Horabot y la herramienta de spam en esta campaña para propagar aún más el ataque mediante el envío de correos electrónicos de phishing adicionales a los contactos de la víctima, lo que significa que los usuarios de habla hispana de organizaciones en verticales adicionales probablemente también se vean afectados». concluye el informe.
Fuente y redacción: underc0de.org
