La nueva campaña de Horabot apunta a Latinoamérica

Cisco Talos ha observado a un actor de amenazas que despliega un programa de botnet denominado «Horabot», el cual entrega un troyano bancario conocido y una herramienta de spam en las máquinas de las víctimas.

El actor de amenazas parece estar apuntando a usuarios de habla hispana en las Américas y, según el análisis de Cisco Talos, puede estar ubicado en Brasil.

Horabot permite que el actor de amenazas controle el buzón de correo de Outlook de la víctima, extraiga las direcciones de correo electrónico de los contactos y envíe correos electrónicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buzón de la víctima.

El troyano bancario puede recopilar las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información del sistema operativo y pulsaciones de teclas. También roba códigos de seguridad de un solo uso o tokens de software de las aplicaciones de banca en línea de la víctima.

La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook, lo que permite que el actor de amenazas tome el control de esos buzones, extraiga las direcciones de correo electrónico de sus contactos y envíe correos electrónicos no deseados.

Dinámica de ataque

Esta campaña implica una cadena de ataque de varias etapas que comienza con un correo electrónico de phishing relacionado con el impuesto sobre la renta, disfrazado de notificación de recibo de impuestos, que incita a los usuarios a abrir el archivo HTML malicioso adjunto, el cual a su vez conduce a la entrega de la carga mediante la ejecución de un script de descarga de PowerShell y la transferencia a ejecutables legítimos.

Cuando una víctima abre el archivo adjunto HTML, se inicia una URL incrustada en el navegador de la víctima, que redirige a otro archivo HTML malicioso desde una instancia EC2 de AWS controlada por el atacante. El contenido que se muestra en el navegador de la víctima los atrae para que hagan clic en un hipervínculo malicioso incrustado que descarga un archivo RAR.

El RAR contiene un archivo por lotes con extensión CMD que corre un script de descarga de PowerShell, el cuál libera una serie de procesos que finalizan con el reinicio de la máquina de la víctima, lo que hace que los archivos maliciosos de inicio de Windows corran las cargas descargándolas en los ejecutables legítimos y descargando y ejecutando otros dos scripts de PowerShell desde un servidor diferente controlado por el atacante. Uno es el script de descarga de PowerShell, que el atacante intenta ejecutar para volver a infectar la máquina de la víctima, y otro es Horabot.

Indicadores de compromiso

HASH

Malicious batch scriptsMalicious batch scripts
63535100bbc1ba8ce9afb5883a59a4138e95c8e33a4585b8285ea7a39e0ead3eaaf456575c8761f3af9b61e015282d9162325ed09b699732bf65b53ae7b7d252
ffd43b32655fc6f1e1c10f88660b68e2c2ad7da271b0f2e3eda70ccdcb3bcee4Malicious archive
720c126f372b68ff79ef13bd1ae6fc9a6aef10669269490d7e8fb589d7d49064fd932d83965d20683ea7f99244dc672e0b4187c9e7588578b626b99d67ac71a6
Banking trojanMalicious AHK scripts
39194718b460ea174784f6a7edbccd1e3324fe1043be806927cece7a86f1561126e06886d9dde7c9ecdc9b223e5f325d0af27cc9b470179a8e493ac300bd783e
474b25badb40f524a7b2fe089e51eb7dbafd2e3e03a9f6750f72055d05b13d76294363039bf93d4c34c8769e581b9c47f8ea210e427fc1feed128bd9bf979a4a
Spam toolHorabot
07f7575af922da1aea5aa26436a3cfcd91b419bbf31d77bf6c9d921290bc04da74a7d13289029d8439e38e0acb4d3b526c63ae863a41218a511182d8f0e6ebef

URL’s

hxxps[://]tributaria[.]website/hxxps[://]tributaria[.]website/ESP/12/151222/UP/UPhxxps[://]tributaria[.]website/A/08/150822/AU/TST/INDEX[.]PHP?LIST
hxxps[://]tributaria[.]website/a/09/01092022/au/tst/index[.]php?listhxxps[://]tributaria[.]website/a/08/150822/up/uphxxps[://]tributaria[.]website/esp/12/151222/up/up
hxxps[://]tributaria[.]website/a/W_/X\W_YY/au/auhxxps[://]tributaria[.]website/a/08/150822/au/auhxxp[://]tributaria[.]website:443/
hxxps[://]tributaria[.]website/A/08/150822/AU/AUhxxps[://]tributaria[.]website/esp/12/151222/au/auhxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_0703[.]html
hxxp[://]139[.]177[.]193[.]74/esp/12/151222/au/adjuntos_0703[.]htmlhxxp[://]139[.]177[.]193[.]74/a/08/150822/au/logs/index[.]php?CHLGhxxp[://]139[.]177[.]193[.]74/
hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/tst/index[.]php?listhxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_2102[.]htmlhxxp[://]139[.]177[.]193[.]74/09/01092022/au/adjuntos_2102[.]html
hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_0102[.]htmhxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_0102[.]htmlhxxp[://]139[.]177[.]193[.]74:443/
hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_2012[.]htmlhxxp[://]139[.]177[.]193[.]74/A/08/150822/AU/ADJUNTOS_2012[.]HTMLhxxp[://]139[.]177[.]193[.]74/esp/12/151222/au/gm/index[.]php?CHLG
hxxp[://]ec2-54-234-37-57[.]compute-1[.]amazonaws[.]com/m/documento-pdf[.]htmlhxxp[://]ec2-54-234-37-57[.]compute-1[.]amazonaws[.]com/m/index[.]php?vahxxps[://]facturacionmarzo[.]cloud/m/archivos[.]pdf[.]html
hxxps[://]facturacionmarzo[.]cloud/e/archivos[.]pdf[.]htmlhxxp[://]216[.]238[.]70[.]224/20/t/e/m.ziphxxp[://]ckws[.]info/
hxxps[://]ckws[.]info/a/310122/up/uphxxps[://]ckws[.]info/a/310122/au/auhxxp[://]ckws[.]info/a/07/080722/up/up
hxxp[://]ckws[.]info/a/07/080722/au/auhxxps[://]ckws[.]info/A/07/080722/UP/UPhxxps[://]ckws[.]info/a/0511/
hxxp[://]ckws[.]info/a/0511hxxps[://]ckws[.]info/a/0511/up/uphxxp[://]ckws[.]info/a/0511/au/au
hxxp[://]m9b4s2[.]site/hxxps[://]m9b4s2[.]site/hxxps[://]m9b4s2[.]site/a1/u
hxxps[://]m9b4s2[.]site/a1/u/hxxps[://]m9b4s2[.]site/2001525248/12457856[.]html%20%20Servicio%20de%20Administraci%C3%B3n%20Tributariahxxp[://]m9b4s2[.]site/2001525248/12457856[.]html
hxxps[://]m9b4s2[.]site/2001525248/12457856[.]html=0A=hxxps[://]m9b4s2[.]site/tst/index[.]php?listhxxps[://]m9b4s2[.]site/a1/u/a/xml[.]dat
hxxps[://]m9b4s2[.]site/a1/u/a/index[.]phphxxps[://]m9b4s2[.]site/a1/u/a/index[.]p[.]h[.]phxxps[://]m9b4s2[.]site/a1/u/a/xml[.]dat’
hxxp[://]m9b4s2[.]site/N/Ihxxp[://]m9b4s2[.]site/k/ihxxp[://]m9b4s2[.]site/A/I
hxxp[://]m9b4s2[.]site/khxxp[://]m9b4s2[.]site/a/ihxxp[://]m9b4s2[.]site/K/I
hxxp[://]m9b4s2[.]site/A/I’hxxp[://]m9b4s2[.]site/k/Ihxxps[://]m9b4s2[.]site/i7_5_7_3_3_2E9Uogmx/i7_5_7_3_3_2E9Uog/i7_5_7_3_3_2E9Uogal/i7_5_7_3_3_2E9Uog
hxxps[://]m9b4s2[.]site/M1S8823HSN34/?1538567474hxxp[://]wiqp[.]xyz/hxxps[://]wiqp[.]xyz/
hxxps[://]wiqp[.]xyz/09/01092022/au/auhxxp[://]wiqp[.]xyz/09/01092022/up/uphxxps[://]amarte[.]store/
hxxps[://]amarte[.]store/a/08/150822/au/auhxxps[://]amarte[.]store/a/08/150822/up/uphxxp[://]51[.]38[.]235[.]152/20/a/m/m[.]zip
hxxp[://]137[.]220[.]53[.]87/20/t/p/m[.]ziphxxp[://]212[.]46[.]38[.]43/m/1hxxp[://]212[.]46[.]38[.]43/e/1
hxxp[://]191[.]101[.]2[.]101/m/1

Dominios

m9b4s2[.]site tributaria[.]website
wiqp[.]xyzckws[.]info
amarte[.]store  

IP’s

51.38.235[.]152137.220.53[.]87
139.177.193[.]74185.45.195[.]226
191.101.2[.]101212.46.38[.]43
216.238.70[.]224

Recomendaciones

  • No descargue ningún archivo del correo a menos que haya verificado la legitimidad del mismo y sea estrictamente necesario.
  • Verifique el dominio del remitente, no abra los correos de desconocidos.
  • Si el mensaje lo invita a acceder a un sitio web a través de un enlace incluido en su contenido, no lo haga.
  • Mantenga actualizado el software de su PC: Instale las actualizaciones de seguridad de su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente web y de correo electrónico.
  • Si detecta o sospecha que ha sido víctima de un ataque de “Phishing”, cambie la contraseña de su cuenta de forma inmediata.
  • Use siempre factor de autenticación múltiple en todas sus cuentas.

Referencias