Los piratas informáticos sospechosos de vivir en Brasil están utilizando una botnet no identificada llamada para apuntar a las bandejas de entrada de correo electrónico de los hispanohablantes en las Américas.
Los investigadores del equipo de seguridad Talos de Cisco dijeron que la botnet, llamada «Horabot», entrega un troyano bancario y una herramienta de spam a las máquinas de las víctimas en una campaña que se ha estado ejecutando desde al menos noviembre de 2020.
Los atacantes están interesados principalmente en usar la herramienta para robar las credenciales y los datos financieros de la víctima, así como enviar correos electrónicos de phishing a todas las identificaciones de correo electrónico validadas en el buzón de la víctima para propagar la infección. Una botnet es un grupo de computadoras que han sido infectadas con malware, lo que permite que un hacker las controle todas.
Esta botnet es notable porque permite a los piratas informáticos tomar el control del buzón de correo de Microsoft Outlook de la víctima, extraer la dirección de correo electrónico de cada contacto y enviar correos electrónicos masivos de phishing con archivos adjuntos HTML maliciosos, desde los propios servidores de correo electrónico de la organización. Los atacantes están utilizando esta técnica para minimizar las posibilidades de que se rastree su infraestructura de phishing, explicaron los investigadores.
“Esta es una técnica de ingeniería social efectiva que ayuda a comprometer a las víctimas, ya que los correos electrónicos se habrían enviado desde una dirección de correo electrónico conocida y se habrían entregado a través de un servidor de correo electrónico legítimo de organizaciones legítimas”, dijo Chetan Raghuprasad, investigador de amenazas en Cisco Talos. Noticias futuras grabadas.
“Estas direcciones de correo electrónico o servidores de correo electrónico generalmente están en la lista blanca y pasan las verificaciones del Marco de políticas del remitente (SPF) contra los servidores de correo electrónico de la organización receptora. Además, será difícil para los defensores rastrear la infraestructura de phishing del atacante y bloquear estos correos electrónicos”.
En un informe publicado esta semanaLos investigadores de Cisco dijeron que los piratas informáticos «pueden estar ubicados en Brasil» porque el dominio registrado para alojar las herramientas de los atacantes y los datos filtrados estaba asociado con alguien con sede allí.
Cisco dijo que el nombre de dominio «se parece al dominio legítimo de la Agencia Tributaria Mexicana, una táctica que el atacante probablemente adoptó para disfrazar el tráfico malicioso».
La campaña se dirige principalmente a personas en México, pero los investigadores también han visto infecciones en Uruguay, Brasil, Venezuela, Argentina, Guatemala y Panamá.
Los correos electrónicos de phishing analizados por los investigadores indican que la pandilla se dirige a organizaciones en una variedad de sectores comerciales, que incluyen contabilidad, construcción, ingeniería, inversión y distribución mayorista.
El malware bancario asociado con la campaña recopila las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información sobre su sistema operativo e incluso pulsaciones de teclas.
Los investigadores notaron que el troyano también podría robar el tipo de código de seguridad único o tokens blandos que suelen usar las aplicaciones de banca en línea para verificar a los usuarios.
Además de Outlook, se vio que la herramienta de correo no deseado comprometía las cuentas de correo web de Yahoo y Gmail, lo que permitía al actor de amenazas tomar el control de estos buzones de correo, filtrar las direcciones de correo electrónico de sus contactos y enviar correos electrónicos desde el correo no deseado.
La infraestructura utilizada por los atacantes se registró en noviembre de 2020, lo que indica una posible fecha para el inicio de la campaña.
Un correo electrónico fiscal español
Cisco dijo que la mayoría de las infecciones comenzaron con un correo electrónico de phishing relacionado con el impuesto sobre la renta escrito en español.
El correo electrónico pretende ser una notificación de recibo de impuestos y pide a las víctimas que abran el archivo HTML malicioso adjunto.
Cuando se abre, el archivo adjunto HTML inicia una URL incrustada en el navegador de la víctima que redirige a otro archivo HTML malicioso. Luego se les pide a las víctimas que hagan clic en un enlace incrustado que descarga un archivo RAR.
Si se abre el archivo RAR, se descargarán varios archivos y la máquina se reiniciará después de 10 segundos. Al menos uno de los archivos maliciosos parece legítimo usando el ícono de Internet Explorer.
«Talos descubrió que las cargas útiles empleadas por el atacante en esta campaña están diseñadas para robar información confidencial, evadir la detección y difundir correos electrónicos de phishing adicionales a los contactos de la víctima», dijeron los investigadores.
“El troyano bancario apunta a la información confidencial de la víctima, como las credenciales de inicio de sesión y los códigos de seguridad de transacciones financieras, registra las pulsaciones de teclas y manipula los datos del portapapeles en la máquina de la víctima. El troyano también tiene funciones antianálisis y antidetección para escapar de los entornos virtuales y de sandbox”.
Los investigadores señalaron que el módulo bancario “utiliza técnicas similares a los troyanos bancarios brasileños informados por otros investigadores de seguridad en el ESET Es control en el pasado.»
El troyano incluso tiene funciones de administración de escritorio remoto, lo que permite a los piratas informáticos crear y eliminar directorios, descargar archivos y más.
jonathan greig
Jonathan Greig es un reportero de noticias de última hora en Recorded Future News. Jonathan ha trabajado en todo el mundo como periodista desde 2014. Antes de regresar a la ciudad de Nueva York, trabajó para medios de comunicación en Sudáfrica, Jordania y Camboya. Anteriormente, cubrió la ciberseguridad en ZDNet y TechRepublic.