Cisco Talos ha observado a un actor de amenazas que despliega un programa de botnet denominado «Horabot», el cual entrega un troyano bancario conocido y una herramienta de spam en las máquinas de las víctimas.
El actor de amenazas parece estar apuntando a usuarios de habla hispana en las Américas y, según el análisis de Cisco Talos, puede estar ubicado en Brasil.
Horabot permite que el actor de amenazas controle el buzón de correo de Outlook de la víctima, extraiga las direcciones de correo electrónico de los contactos y envíe correos electrónicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buzón de la víctima.
El troyano bancario puede recopilar las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información del sistema operativo y pulsaciones de teclas. También roba códigos de seguridad de un solo uso o tokens de software de las aplicaciones de banca en línea de la víctima.
La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook, lo que permite que el actor de amenazas tome el control de esos buzones, extraiga las direcciones de correo electrónico de sus contactos y envíe correos electrónicos no deseados.
Dinámica de ataque
Esta campaña implica una cadena de ataque de varias etapas que comienza con un correo electrónico de phishing relacionado con el impuesto sobre la renta, disfrazado de notificación de recibo de impuestos, que incita a los usuarios a abrir el archivo HTML malicioso adjunto, el cual a su vez conduce a la entrega de la carga mediante la ejecución de un script de descarga de PowerShell y la transferencia a ejecutables legítimos.
Cuando una víctima abre el archivo adjunto HTML, se inicia una URL incrustada en el navegador de la víctima, que redirige a otro archivo HTML malicioso desde una instancia EC2 de AWS controlada por el atacante. El contenido que se muestra en el navegador de la víctima los atrae para que hagan clic en un hipervínculo malicioso incrustado que descarga un archivo RAR.
El RAR contiene un archivo por lotes con extensión CMD que corre un script de descarga de PowerShell, el cuál libera una serie de procesos que finalizan con el reinicio de la máquina de la víctima, lo que hace que los archivos maliciosos de inicio de Windows corran las cargas descargándolas en los ejecutables legítimos y descargando y ejecutando otros dos scripts de PowerShell desde un servidor diferente controlado por el atacante. Uno es el script de descarga de PowerShell, que el atacante intenta ejecutar para volver a infectar la máquina de la víctima, y otro es Horabot.
Indicadores de compromiso
HASH
| Malicious batch scripts | Malicious batch scripts |
| 63535100bbc1ba8ce9afb5883a59a4138e95c8e33a4585b8285ea7a39e0ead3e | aaf456575c8761f3af9b61e015282d9162325ed09b699732bf65b53ae7b7d252 |
| ffd43b32655fc6f1e1c10f88660b68e2c2ad7da271b0f2e3eda70ccdcb3bcee4 | Malicious archive |
| 720c126f372b68ff79ef13bd1ae6fc9a6aef10669269490d7e8fb589d7d49064 | fd932d83965d20683ea7f99244dc672e0b4187c9e7588578b626b99d67ac71a6 |
| Banking trojan | Malicious AHK scripts |
| 39194718b460ea174784f6a7edbccd1e3324fe1043be806927cece7a86f15611 | 26e06886d9dde7c9ecdc9b223e5f325d0af27cc9b470179a8e493ac300bd783e |
| 474b25badb40f524a7b2fe089e51eb7dbafd2e3e03a9f6750f72055d05b13d76 | 294363039bf93d4c34c8769e581b9c47f8ea210e427fc1feed128bd9bf979a4a |
| Spam tool | Horabot |
| 07f7575af922da1aea5aa26436a3cfcd91b419bbf31d77bf6c9d921290bc04da | 74a7d13289029d8439e38e0acb4d3b526c63ae863a41218a511182d8f0e6ebef |
URL’s
| hxxps[://]tributaria[.]website/ | hxxps[://]tributaria[.]website/ESP/12/151222/UP/UP | hxxps[://]tributaria[.]website/A/08/150822/AU/TST/INDEX[.]PHP?LIST |
| hxxps[://]tributaria[.]website/a/09/01092022/au/tst/index[.]php?list | hxxps[://]tributaria[.]website/a/08/150822/up/up | hxxps[://]tributaria[.]website/esp/12/151222/up/up |
| hxxps[://]tributaria[.]website/a/W_/X\W_YY/au/au | hxxps[://]tributaria[.]website/a/08/150822/au/au | hxxp[://]tributaria[.]website:443/ |
| hxxps[://]tributaria[.]website/A/08/150822/AU/AU | hxxps[://]tributaria[.]website/esp/12/151222/au/au | hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_0703[.]html |
| hxxp[://]139[.]177[.]193[.]74/esp/12/151222/au/adjuntos_0703[.]html | hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/logs/index[.]php?CHLG | hxxp[://]139[.]177[.]193[.]74/ |
| hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/tst/index[.]php?list | hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_2102[.]html | hxxp[://]139[.]177[.]193[.]74/09/01092022/au/adjuntos_2102[.]html |
| hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_0102[.]htm | hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_0102[.]html | hxxp[://]139[.]177[.]193[.]74:443/ |
| hxxp[://]139[.]177[.]193[.]74/a/08/150822/au/adjuntos_2012[.]html | hxxp[://]139[.]177[.]193[.]74/A/08/150822/AU/ADJUNTOS_2012[.]HTML | hxxp[://]139[.]177[.]193[.]74/esp/12/151222/au/gm/index[.]php?CHLG |
| hxxp[://]ec2-54-234-37-57[.]compute-1[.]amazonaws[.]com/m/documento-pdf[.]html | hxxp[://]ec2-54-234-37-57[.]compute-1[.]amazonaws[.]com/m/index[.]php?va | hxxps[://]facturacionmarzo[.]cloud/m/archivos[.]pdf[.]html |
| hxxps[://]facturacionmarzo[.]cloud/e/archivos[.]pdf[.]html | hxxp[://]216[.]238[.]70[.]224/20/t/e/m.zip | hxxp[://]ckws[.]info/ |
| hxxps[://]ckws[.]info/a/310122/up/up | hxxps[://]ckws[.]info/a/310122/au/au | hxxp[://]ckws[.]info/a/07/080722/up/up |
| hxxp[://]ckws[.]info/a/07/080722/au/au | hxxps[://]ckws[.]info/A/07/080722/UP/UP | hxxps[://]ckws[.]info/a/0511/ |
| hxxp[://]ckws[.]info/a/0511 | hxxps[://]ckws[.]info/a/0511/up/up | hxxp[://]ckws[.]info/a/0511/au/au |
| hxxp[://]m9b4s2[.]site/ | hxxps[://]m9b4s2[.]site/ | hxxps[://]m9b4s2[.]site/a1/u |
| hxxps[://]m9b4s2[.]site/a1/u/ | hxxps[://]m9b4s2[.]site/2001525248/12457856[.]html%20%20Servicio%20de%20Administraci%C3%B3n%20Tributaria | hxxp[://]m9b4s2[.]site/2001525248/12457856[.]html |
| hxxps[://]m9b4s2[.]site/2001525248/12457856[.]html=0A= | hxxps[://]m9b4s2[.]site/tst/index[.]php?list | hxxps[://]m9b4s2[.]site/a1/u/a/xml[.]dat |
| hxxps[://]m9b4s2[.]site/a1/u/a/index[.]php | hxxps[://]m9b4s2[.]site/a1/u/a/index[.]p[.]h[.]p | hxxps[://]m9b4s2[.]site/a1/u/a/xml[.]dat’ |
| hxxp[://]m9b4s2[.]site/N/I | hxxp[://]m9b4s2[.]site/k/i | hxxp[://]m9b4s2[.]site/A/I |
| hxxp[://]m9b4s2[.]site/k | hxxp[://]m9b4s2[.]site/a/i | hxxp[://]m9b4s2[.]site/K/I |
| hxxp[://]m9b4s2[.]site/A/I’ | hxxp[://]m9b4s2[.]site/k/I | hxxps[://]m9b4s2[.]site/i7_5_7_3_3_2E9Uogmx/i7_5_7_3_3_2E9Uog/i7_5_7_3_3_2E9Uogal/i7_5_7_3_3_2E9Uog |
| hxxps[://]m9b4s2[.]site/M1S8823HSN34/?1538567474 | hxxp[://]wiqp[.]xyz/ | hxxps[://]wiqp[.]xyz/ |
| hxxps[://]wiqp[.]xyz/09/01092022/au/au | hxxp[://]wiqp[.]xyz/09/01092022/up/up | hxxps[://]amarte[.]store/ |
| hxxps[://]amarte[.]store/a/08/150822/au/au | hxxps[://]amarte[.]store/a/08/150822/up/up | hxxp[://]51[.]38[.]235[.]152/20/a/m/m[.]zip |
| hxxp[://]137[.]220[.]53[.]87/20/t/p/m[.]zip | hxxp[://]212[.]46[.]38[.]43/m/1 | hxxp[://]212[.]46[.]38[.]43/e/1 |
| hxxp[://]191[.]101[.]2[.]101/m/1 |
Dominios
| m9b4s2[.]site | tributaria[.]website |
| wiqp[.]xyz | ckws[.]info |
| amarte[.]store |
IP’s
| 51.38.235[.]152 | 137.220.53[.]87 |
| 139.177.193[.]74 | 185.45.195[.]226 |
| 191.101.2[.]101 | 212.46.38[.]43 |
| 216.238.70[.]224 |
Recomendaciones
- No descargue ningún archivo del correo a menos que haya verificado la legitimidad del mismo y sea estrictamente necesario.
- Verifique el dominio del remitente, no abra los correos de desconocidos.
- Si el mensaje lo invita a acceder a un sitio web a través de un enlace incluido en su contenido, no lo haga.
- Mantenga actualizado el software de su PC: Instale las actualizaciones de seguridad de su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente web y de correo electrónico.
- Si detecta o sospecha que ha sido víctima de un ataque de “Phishing”, cambie la contraseña de su cuenta de forma inmediata.
- Use siempre factor de autenticación múltiple en todas sus cuentas.
Referencias