Por Yair Lelis, director de Ciberseguridad en Cisco México
La unidad de inteligencia en ciberseguridad, Cisco Talos ha observado un actor de amenazas desplegado en un botnet previamente no identificado que Talos llama Horabot.
Éste lleva un troyano bancario conocido y una herramienta de spam dirigida a los equipos de las víctimas en una campaña que ha estado en curso desde al menos noviembre de 2020 y que ha seguido durante 2023.
La amenaza parece dirigirse a usuarios hispanohablantes de América y, según nuestro análisis, podría estar ubicada en Brasil. Los ataques se dirigen principalmente a usuarios en México, con algunas infecciones detectadas en Uruguay, Brasil, Venezuela, Argentina, Guatemala y Panamá.
Horabot permite al actor de la amenaza controlar el buzón de Outlook de la víctima, exfiltrar las direcciones de correo electrónico de los contactos y enviar correos electrónicos de phishing a través de archivos adjuntos HTML maliciosos a todo el directorio del buzón comprometido.
El troyano bancario puede recopilar las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información del sistema operativo y pulsaciones de teclas (keylogger). También roba códigos de seguridad de un sólo uso (OTP) o soft tokens de las aplicaciones bancarias en línea de la víctima.
Talos identificó que se han visto afectados usuarios de organizaciones de varios sectores empresariales, como: contabilidad, construcción e ingeniería, distribución mayorista y empresas de inversión. Sin embargo, el atacante utiliza Horabot y la herramienta de spam en esta campaña para propagar aún más el ataque mediante el envío de correos electrónicos de phishing adicionales a los contactos de la víctima para expandir su impacto.
¿Cómo opera?
La infección comienza con un correo electrónico phishing con temática de impuestos sobre la renta escrito en español, disfrazándose como una notificación de recibo de impuestos y engañando a los usuarios para abrir el archivo HTML malicioso adjunto.
Cuando una víctima abre el archivo adjunto HTML ocurren diversos procesos de infección que llevan a reiniciar la máquina después de 10 segundos. Después del reinicio del equipo, archivos maliciosos de Windows ejecutan las cargas útiles en los archivos legítimos y descargan y ejecutan otros dos scripts de PowerShell desde un servidor controlado por el atacante. Uno es el script de descarga de PowerShell, que el atacante intenta ejecutar para volver a infectar la máquina de la víctima, y otro es Horabot.
Talos descubrió que las cargas útiles empleadas por el atacante en esta campaña están diseñadas para robar información sensible, evadir la detección y difundir correos electrónicos de phishing adicionales a los contactos de la víctima. El troyano bancario se dirige a la información sensible de la víctima, como las credenciales de inicio de sesión y los códigos de seguridad de las transacciones financieras; registra las pulsaciones del teclado y manipula los datos del portapapeles de la máquina de la víctima.
El troyano también tiene capacidades anti-análisis y anti-detección para evadir el uso sandbox y los entornos virtuales. La herramienta de spam y el recién identificado Horabot se emplean en el ataque para comprometer los buzones de correo de la víctima, robar las direcciones de correo electrónico de sus contactos y enviar correos electrónicos de phishing a los contactos de la víctima. La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook.
Algunas herramientas para prevenir los ataques son:
• Soluciones para la prevención de ejecución de malware.
• Prevención de acceso a websites maliciosos y detección de malware durante la navegación.
• Detección y bloqueo de correos maliciosos.
• Firewalls con capacidad para detectar actividad maliciosa asociada con este tipo de ataques.
• Soluciones de analítica de malware que identifiquen código malicioso y desarrollen protección avanzada.
• SIG (Gateway de internet Seguro) que bloquea la conexión de usuarios a dominios maliciosos IPs y URLs, ya sea que el usuario esté o no conectado a una red corporativa.
• Soluciones de seguridad web que automáticamente bloqueen sitios potencialmente peligrosos y determine el riesgo en sitios sospechosos antes de que el usuario los acceda
• Uso de un multifactor de autenticación (MFA) para asegurar que sólo las personas autorizadas accedan a la red.