HPE entre los lĆderes de almacenamiento de Gartner
Los ataques de la nueva campaƱa del bonet identificado por Cisco Talos como Harabot van en aumento.
Con casi tres aƱos de duraciĆ³n, la mayorĆa de Ć©stosĀ se dirigen, principalmente, a usuarios en MĆ©xico.
Por: Yair Lelis | Director de Ciberseguridad Cisco MĆ©xico
La unidad de inteligencia en ciberseguridad Cisco Talos ha observado un actor de amenazas desplegado en un botnet previamente no identificado que Talos llama Horabot.Ā
Ćste lleva un troyano bancario conocido y una herramienta de spam dirigida a los equipos de las vĆctimas, en una campaƱa que ha estado en curso desde al menos noviembre de 2020 y que ha seguido durante 2023.
La amenaza parece dirigirse a usuarios hispanohablantes de AmĆ©rica y, segĆŗn nuestro anĆ”lisis, podrĆa estar ubicada en Brasil.Ā
Los ataques apuntan principalmente a usuarios en MĆ©xico, con algunas infecciones detectadas en Uruguay, Brasil, Venezuela, Argentina, Guatemala y PanamĆ”.
Horabot permite al actor de la amenaza:Ā
- Controlar el buzĆ³n de Outlook de la vĆctimaĀ
- Exfiltrar las direcciones de correo electrĆ³nico de los contactosĀ
- Y enviar correos electrĆ³nicos de phishing a travĆ©s de archivos adjuntos HTML maliciosos a todo el directorio del buzĆ³n comprometido.
Con las cuentas en riesgo
El troyano bancario puede recopilar las credenciales de inicio de sesiĆ³n de la vĆctima para varias cuentas en lĆnea, informaciĆ³n del sistema operativo y pulsaciones de teclas (keylogger).Ā
TambiĆ©n roba cĆ³digos de seguridad de un sĆ³lo uso (OTP) o soft tokens de las aplicaciones bancarias en lĆnea de la vĆctima.
Talos identificĆ³ que se han visto afectados usuarios de organizaciones de varios sectores empresariales, como: contabilidad, construcciĆ³n e ingenierĆa, distribuciĆ³n mayorista y empresas de inversiĆ³n.Ā
Sin embargo, el atacante utiliza Horabot y la herramienta de spam en esta campaƱa para propagar aĆŗn mĆ”s el ataque mediante el envĆo de correos electrĆ³nicos de phishing adicionales a los contactos de la vĆctima para expandir su impacto.
La infecciĆ³n comienza con un correo electrĆ³nico phishing con temĆ”tica de impuestos sobre la renta escrito en espaƱol, disfrazĆ”ndose como una notificaciĆ³n de recibo de impuestos y engaƱando a los usuarios para abrir el archivo HTML malicioso adjunto.
Cuando una vĆctima abre el archivo adjunto HTML ocurren diversos procesos de infecciĆ³n que llevan a reiniciar la mĆ”quina despuĆ©s de 10 segundos.Ā
DespuĆ©s del reinicio del equipo, archivos maliciosos de Windows ejecutan las cargas Ćŗtiles en los archivos legĆtimos y descargan y ejecutan otros dos scripts de PowerShell desde un servidor controlado por el atacante.Ā
Los hallazgos de Cisco Talos
Uno es el script de descarga de PowerShell, que el atacante intenta ejecutar para volver a infectar la mĆ”quina de la vĆctima. El otro es Horabot.
Talos descubriĆ³ que las cargas Ćŗtiles empleadas por el atacante en esta campaƱa estĆ”n diseƱadas para robar informaciĆ³n sensible, evadir la detecciĆ³n y difundir correos electrĆ³nicos de phishing adicionales a los contactos de la vĆctima.Ā
El troyano bancario se dirige a la informaciĆ³n sensible de la vĆctima como:Ā
- las credenciales de inicio de sesiĆ³nĀ
- Y los cĆ³digos de seguridad de las transacciones financieras
- Registra las pulsaciones del tecladoĀ
- Y manipula los datos del portapapeles de la mĆ”quina de la vĆctima
El troyano tambiĆ©n tiene capacidades anti-anĆ”lisis y anti-detecciĆ³n para evadir el uso sandbox y los entornos virtuales.Ā
La herramienta de spam y el reciĆ©n identificado Horabot se emplean en el ataque para comprometer los buzones de correo de la vĆctima, robar las direcciones de correo electrĆ³nico de sus contactos y enviar correos electrĆ³nicos de phishing a los contactos de la vĆctima.Ā
La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook.
Primeros auxiliosĀ
Algunas herramientas para prevenir los ataques son:Ā
- Soluciones para la prevenciĆ³n de ejecuciĆ³n de malware.
- PrevenciĆ³n de acceso a websites maliciosos y detecciĆ³n de malware durante la navegaciĆ³n.
- DetecciĆ³n y bloqueo de correos maliciosos.
- Firewalls con capacidad para detectar actividad maliciosa asociada con este tipo de ataques.
- Soluciones de analĆtica de malware que identifiquen cĆ³digo malicioso y desarrollen protecciĆ³n avanzada.
- SIG (Gateway de internet Seguro) que bloquea la conexiĆ³n de usuarios a dominios maliciosos IPs y URLs, ya sea que el usuario estĆ© o no conectado a una red corporativa.
- Soluciones de seguridad web que automƔticamente bloqueen sitios potencialmente peligrosos y determine el riesgo en sitios sospechosos antes de que el usuario los acceda
- Uso de un multifactor de autenticaciĆ³n (MFA) para asegurar que sĆ³lo las personas autorizadas accedan a la red.
