"Horabot permite al actor de amenazas controlar la bandeja de entrada de Outlook de la vÃctima, extraer las direcciones de correo electrónico de los contactos y enviar correos electrónicos de phishing con archivos HTML maliciosos a todas las direcciones de correo electrónico en la bandeja de entrada de la vÃctima", dijo el investigador de Cisco Talos, Chetan Raghuprasad.
El programa de botnet también entrega un troyano financiero basado en Windows y una herramienta de spam para recopilar credenciales bancarias en lÃnea, asà como comprometer las cuentas de correo web de Gmail, Outlook y Yahoo! para enviar correos electrónicos no deseados.
La firma de ciberseguridad afirma que la mayorÃa de las infecciones se encuentran en México, con un número limitado de vÃctimas identificadas en Uruguay, Brasil, Venezuela, Argentina, Guatemala y Panamá. Se cree que el actor de amenazas detrás de la campaña se encuentra en Brasil.
Los usuarios objetivo de la campaña en curso abarcan principalmente los sectores de contabilidad, construcción e ingenierÃa, distribución mayorista e inversión, aunque se sospecha que otros sectores de la región también podrÃan verse afectados. Los ataques comienzan con correos electrónicos de phishing con señuelos relacionados con impuestos que incitan a los destinatarios a abrir un archivo HTML adjunto, que a su vez contiene un enlace que conduce a un archivo RAR.
Al abrir el contenido del archivo, se ejecuta un script de descarga de PowerShell que se encarga de recuperar un archivo ZIP que contiene las cargas principales de un servidor remoto y reiniciar la máquina. El reinicio del sistema también sirve como plataforma de lanzamiento para el troyano bancario y la herramienta de spam, lo que permite al actor de amenazas robar datos, registrar pulsaciones de teclas, capturar capturas de pantalla y enviar correos electrónicos de phishing adicionales a los contactos de la vÃctima.
"Esta campaña implica una cadena de ataque de múltiples etapas que comienza con un correo electrónico de phishing y lleva a la entrega de cargas útiles a través de la ejecución de un script de descarga de PowerShell y la carga lateral en ejecutables legÃtimos", dijo Raghuprasad.
El malware de botnet El troyano bancario es una DLL de Windows de 32 bits escrita en el lenguaje de programación Delphi y comparte similitudes con otras familias de malware brasileñas como Mekotio y Casbaneiro. Por su parte, Horabot es un programa de botnet de phishing de Outlook escrito en PowerShell que es capaz de enviar correos electrónicos de phishing a todas las direcciones de correo electrónico en la bandeja de entrada de la vÃctima para propagar la infección. También es un intento deliberado de minimizar que la infraestructura de phishing del actor de amenazas sea expuesta.
Esta revelación llega una semana después de que SentinelOne atribuyera a un actor de amenazas brasileño desconocido una campaña de larga duración dirigida a más de 30 instituciones financieras portuguesas con malware que roba información desde 2021. También sigue al descubrimiento de un nuevo troyano bancario para Android llamado PixBankBot que abusa de los servicios de accesibilidad del sistema operativo para realizar transferencias de dinero fraudulentas en la plataforma de pagos brasileña PIX.
PixBankBot es otro ejemplo más de malware que se centra especÃficamente en bancos brasileños, con capacidades similares a BrasDex, PixPirate y GoatRAT que se han detectado en los últimos meses.
En definitiva, estos desarrollos representan otra iteración de un grupo más amplio de esfuerzos de hacking con motivaciones financieras que se originan en Brasil, por lo que es crucial que los usuarios se mantengan vigilantes para evitar caer en estas amenazas.
¿Quieres saber más?