Los investigadores de seguridad cibernética de Cisco Talos han detectado una nueva campaña de piratería que, según afirman, se dirige a los datos confidenciales, las credenciales de inicio de sesión y las bandejas de entrada de correo electrónico de las víctimas.
Horabot se describe como una botnet que ha estado activa durante casi dos años y medio (detectada por primera vez en noviembre de 2020). Durante ese tiempo, se ha encargado principalmente de distribuir un troyano bancario y malware de spam.
Sus operadores parecen estar ubicados en Brasil, mientras que sus víctimas son usuarios de habla hispana ubicados en su mayoría en México, Uruguay, Venezuela Brasil, Panamá, Argentina y Guatemala.
Red de bots Horabot
Las víctimas se encuentran en diferentes industrias, desde firmas de inversión hasta distribución mayorista, desde construcción hasta ingeniería y contabilidad.
El ataque comienza con un mensaje de correo electrónico que contiene un adjunto HTML malicioso. En última instancia, se insta a la víctima a descargar un archivo .RAR, que contiene el troyano bancario.
El malware es capaz de hacer muchas cosas: robar credenciales de inicio de sesión, registrar pulsaciones de teclas y obtener información del sistema. Al generar una superposición invisible, también es capaz de obtener códigos de seguridad de un solo uso de las aplicaciones de autenticación multifactor (MFA), omitiendo esencialmente esta capa crucial de seguridad.
Además, el troyano puede apoderarse de las cuentas de correo electrónico de las víctimas, incluidas las de Outlook, Gmail y Yahoo. Los actores de la amenaza luego usarían este acceso para enviar mensajes de spam a todos los contactos guardados en la bandeja de entrada, haciendo que su cadena de distribución e infección sea algo aleatoria y no dirigida. Hasta cierto punto, el troyano también funciona como una herramienta de administración de escritorio remoto, ya que puede crear y eliminar directorios y archivos desde el terminal de la víctima, dijeron los investigadores.
Finalmente, la herramienta tiene varias características de ofuscación que evitan que se ejecute en un entorno de espacio aislado o junto a una herramienta de depuración, lo que dificulta un poco el descubrimiento y el análisis posterior.
Vía: BleepingComputer