• Harbot parece estar apuntando a usuarios de habla hispana en las Américas y, según nuestro análisis, puede estar ubicado en Brasil.
• Horabot permite que el actor de amenazas controle el buzón de correo de Outlook de la víctima, extraiga las direcciones de correo electrónico de los contactos y envíe correos electrónicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buzón de la víctima.
• El troyano bancario puede recopilar las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información del sistema operativo y pulsaciones de teclas. También roba códigos de seguridad de un solo uso o tokens de software de las aplicaciones de banca en línea de la víctima.
• La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook, lo que permite que el actor de amenazas tome el control de esos buzones, extraiga las direcciones de correo electrónico de sus contactos y envíe correos electrónicos no deseados.

Victimología

Los ataques se dirigen principalmente a usuarios en México, con algunas infecciones en Uruguay, Brasil, Venezuela, Argentina, Guatemala y Panamá.

Al analizar los correos electrónicos de phishing utilizados en la campaña, Talos identificó que los usuarios de organizaciones en varias verticales comerciales, incluidas empresas de contabilidad, construcción e ingeniería, distribución mayorista y empresas de inversión, se han visto afectados.

Sin embargo, el atacante utiliza Horabot y la herramienta de spam en esta campaña para propagar aún más el ataque mediante el envío de correos electrónicos de phishing adicionales a los contactos de la víctima, lo que significa que los usuarios de habla hispana de organizaciones en verticales adicionales probablemente también se vean afectados.

La infraestructura del atacante se remonta a noviembre de 2020

Talos descubrió que el atacante en esta campaña está utilizando múltiples hosts, incluida una instancia de Elastic Compute Cloud (EC2) de Amazon Web Services (AWS), a la que se accede a través de su URL pública, para alojar los archivos maliciosos.

Durante nuestro análisis, Talos observó que un servidor malicioso en la dirección IP 185[.]45[.]195[.]226 alojaba el script de descarga de PowerShell y tenía un directorio abierto que el atacante finalmente deshabilitó.

Otro servidor malicioso, 216[.]238[.]70[.]224, alojó el archivo ZIP que contenía las cargas útiles.

Lo más probable es que se trate de un servidor privado virtual (VPS) detrás del cual el atacante ha estacionado el servidor de comando y control (C2) real, lo que nos impide identificar el C2 real.

El atacante también usó dominios similares en esta campaña para llevar a cabo actividades maliciosas y evadir la detección de la red.

Según el análisis de Talos de la información de registro de dominio para la infraestructura del atacante, Talos evalúa con mucha confianza que esta campaña comenzó en noviembre de 2020 y ha estado en curso hasta 2023. Según los registros de WHOIS para el sitio web de dominio tributario[.], utilizado en este campaña para alojar las herramientas del atacante, así como los datos extraídos, el dominio se registró en julio de 2022 y el registrante se encontraba fuera de Brasil. Este nombre de dominio también se parecía al dominio legítimo de la Agencia Tributaria Mexicana, una táctica que el atacante probablemente adoptó para disfrazar el tráfico malicioso. Las solicitudes de DNS al sitio web tributario[.], como se observa en Cisco Umbrella, se muestran a continuación.

 

Dominios maliciosos	Periodo de registro
m9b4s2[.]sitio	noviembre 2020
sitio web tributario[.]	julio 2022
wiqp[.]xyz	agosto 2022
ckws[.]info	enero 2023
amarte[.]tienda	marzo 2023

La cadena de ataque de varias etapas utiliza el descargador de PowerShell y la carga lateral de DLL

Esta campaña implica una cadena de ataque de varias etapas que comienza con un correo electrónico de phishing y conduce a la entrega de la carga mediante la ejecución de un script de descarga de PowerShell y la transferencia a ejecutables legítimos.

La infección comienza con un correo electrónico de phishing relacionado con el impuesto sobre la renta escrito en español, disfrazado de notificación de recibo de impuestos e incitando a los usuarios a abrir el archivo HTML malicioso adjunto.

Cuando una víctima abre el archivo adjunto HTML, se inicia una URL incrustada en el navegador de la víctima, que redirige a otro archivo HTML malicioso desde una instancia EC2 de AWS controlada por el atacante. El contenido que se muestra en el navegador de la víctima los atrae para que hagan clic en un hipervínculo malicioso incrustado que descarga un archivo RAR.

El archivo RAR contiene un archivo por lotes con extensión CMD que se ejecuta cuando la víctima abre el contenido del archivo. El archivo por lotes descarga el script de descarga de PowerShell desde un servidor controlado por un atacante y lo ejecuta a través de los comandos de PowerShell. El script de descarga de PowerShell descargará un archivo ZIP que contiene las DLL de carga útil y algunos ejecutables y DLL legítimos. Crea archivos de acceso directo de Windows configurados para ejecutar las cargas útiles en la carpeta de inicio de la máquina de la víctima y reinicia la máquina después de 10 segundos.

Después de que se reinicia la máquina de la víctima, los archivos maliciosos de inicio de Windows ejecutan las cargas descargándolas en los ejecutables legítimos y descargando y ejecutando otros dos scripts de PowerShell desde un servidor diferente controlado por el atacante. Uno es el script de descarga de PowerShell, que el atacante intenta ejecutar para volver a infectar la máquina de la víctima, y ​​otro es Horabot.

La cadena de infección de tres capas entrega y detona las cargas útiles

El archivo por lotes malicioso descarga el descargador de PowerShell

El archivo RAR que contiene un archivo por lotes malicioso con una extensión .cmd se descarga en la máquina del usuario. Según las instrucciones de la página HTML, si el usuario abre el archivo CMD, el script por lotes malicioso ejecuta un comando de PowerShell incorporado para descargar el script de PowerShell de la siguiente etapa del servidor y ejecutarlo en la máquina de la víctima.

El script de PowerShell descarga las cargas útiles

El script de descarga de PowerShell malicioso inicia varios procesos que descargan las cargas útiles y reinician la máquina de la víctima. El script está muy ofuscado con símbolos aleatorios que sustituyen las instrucciones durante el tiempo de ejecución y las cadenas codificadas en base64. En la etapa inicial de la ejecución, el script decodifica las cadenas codificadas en base64 y las inicializa. Ejecuta una función que utiliza caracteres alfanuméricos y el carácter especial “_” para generar un nombre aleatorio y crea una carpeta con el nombre aleatorio en el directorio raíz de la máquina de la víctima. El nombre aleatorio generado por la muestra durante nuestro análisis fue “_upyqta2_J”. El script usa este nombre aleatorio eventualmente para crear otras carpetas y archivos.

El script crea otros dos scripts por lotes maliciosos con la extensión .cmd en la carpeta “/Users/Public”. Luego, crea dos archivos de acceso directo de Windows en la carpeta de inicio de Windows utilizando el ícono de la aplicación Internet Explorer y las rutas de destino que apuntan a los dos scripts por lotes descartados. <deskto_name>S.cmd y <desktop_name>Sy.cmd son las convenciones de nomenclatura utilizadas.

El script también crea otros tres archivos de acceso directo de Windows en la carpeta de inicio de la máquina de la víctima, con los detalles de la ruta de destino apuntando a las carpetas donde finalmente se descargan las cargas útiles.

El atacante usó el icono de Internet Explorer para los archivos de acceso directo caídos. Talos compiló una tabla que muestra los archivos maliciosos de acceso directo de Windows y sus rutas relativas con los argumentos de la línea de comandos.

Archivos de acceso directo	Camino relativo	Argumentos de línea de comando
_upyqta2_JAA.lnk	..\..\..\..\..\..\..\..\..\_upyqta2_J\_upyqta2_Ji7.exe
_upyqta2_JAT.lnk	..\..\..\..\..\..\..\..\..\_upyqta2_J\_upyqta2_J.exe	C:\_upyqta2_J\_upyqta2_J.at
_upyqta2_JEX.lnk	..\..\..\..\..\..\..\..\..\_upyqta2_J\_upyqta2_J.exe	C:\_upyqta2_J\_upyqta2_J.ai
_upyqta2_Jy.lnk	..\..\..\..\..\..\..\..\Public\DESKTOP-UT9NJ4Sy.cmd
_upyqta2_J.lnk	..\..\..\..\..\..\..\..\Public\DESKTOP-UT9NJ4S.cmd

A continuación, el script descarga un archivo ZIP malicioso, “m.zip”, desde un servidor que utiliza la URL “hxxp[://]216[.]238[.]70[.]224/20/t/e/m .zip” a la carpeta de nombre aleatorio. El script cambia el nombre del archivo descargado con un nombre aleatorio y desinfla su contenido. Los contenidos desinflados se renombran usando caracteres aleatorios, luego se elimina el archivo ZIP malicioso. El script también escribe la ruta del archivo ejecutable, “_upyqta2_Ji7.exe”, en la clave de registro de la clase “HKEY_CURRENT_USER\software\Classes\ms-settings\shell\open\command” y reinicia la máquina de la víctima después de 10 segundos usando el comando “apagar /r /t 10”.

El contenido desinflado del archivo ZIP malicioso se muestra en la siguiente tabla con su descripción.

Archivos caídos	Descripción
_upyqta2_J.ai	Script compilado de AutoIt
_upyqta2_J.at	Script compilado de AutoIt
_upyqta2_J.exe	Intérprete AutoIt
_upyqta2_J.ia	DLL troyano cifrado
_upyqta2_J.mdat	DLL de la herramienta de correo no deseado cifrado
_upyqta2_Ji7.exe	Kinit.exe, un ejecutable legítimo
jli.dll	troyano bancario
MSVCR100.dll	DLL legítimo
WebView2Loader.dll	DLL legítimo

Los archivos de acceso directo maliciosos detonan las cargas útiles después de reiniciar el sistema

Después de que el descargador de PowerShell reinicia la máquina de la víctima, se ejecutan los archivos maliciosos de acceso directo de Windows colocados en la carpeta de inicio de Windows, ejecutando las cargas útiles utilizadas en el ataque. Esta sección describe el comportamiento de cada uno de los archivos de acceso directo.

_upyqta2_JAA.lnk

 

_upyqta2_JEX.lnk

_upyqta2_JAT.lnk

Este archivo de enlace realiza los mismos pasos que “_upyqta2_JEX.lnk” al ejecutar el script de AutoIt “_upyqta2_J.at” para descifrar “_upyqta2_J.mdat” y crear la DLL “_upyqta2_J.mdat.a1” con una extensión falsificada. Luego, el script de AutoIt descarga la DLL en el proceso del intérprete de AutoIt y ejecuta la función maliciosa “B080223_AT” con el parámetro “STRUCT”. La DLL maliciosa “_upyqta2_J.mdat.a1” es una herramienta de spam con capacidad para robar información.

_upyqta2_J.lnk

Este archivo de enlace ejecuta uno de los archivos por lotes descartados, “<nombre-del-escritorio>S.cmd”. El archivo por lotes ejecuta un comando integrado de PowerShell para descargar el script de descarga de PowerShell desde el servidor controlado por el atacante mediante la URL hxxp[://]tributaria[.]website/esp/12/151222/up/up” y lo ejecuta. El atacante usa el descargador de PowerShell para volver a infectar la máquina de la víctima.

_upyqta2_Jy.lnk

 

Este archivo de enlace ejecuta otro archivo por lotes descartado, “<nombre_del_escritorio>Sy.cmd”, que ejecuta un comando de PowerShell para descargar y ejecutar el Horabot “au” usando la URL hxxp[://]tributaria[.]website/esp/12 /151222/au/au.

cargas útiles

Talos descubrió que las cargas útiles empleadas por el atacante en esta campaña están diseñadas para robar información confidencial, evadir la detección y difundir correos electrónicos de phishing adicionales a los contactos de la víctima. El troyano bancario apunta a la información confidencial de la víctima, como las credenciales de inicio de sesión y los códigos de seguridad de transacciones financieras, y registra las pulsaciones de teclas y manipula los datos del portapapeles de la máquina de la víctima. El troyano también tiene capacidades anti-análisis y anti-detección para evadir los entornos virtuales y sandbox. La herramienta de spam y Horabot recién identificado se emplean en el ataque para comprometer los buzones de correo de la víctima, robar las direcciones de correo electrónico de sus contactos y enviar correos electrónicos de phishing a los contactos de la víctima.

El troyano bancario apunta a las credenciales de inicio de sesión y la información financiera de la víctima

El troyano bancario identificado en esta campaña, una DLL de Windows de 32 bits escrita en el lenguaje de programación Delphi y empaquetada con el empaquetador Themida, puede recopilar información del sistema, credenciales y actividad del usuario. Este troyano se basa en una herramienta llamada Delphi_Remote_Access_PC , que está disponible públicamente en GitHub. También utiliza técnicas similares a las de los troyanos bancarios brasileños informados por otros investigadores de seguridad en ESET y Check Point en el pasado.

El troyano realiza vigilancia en la máquina de la víctima mediante la recopilación de información del sistema, como nombres de host, direcciones IPv4, versión del sistema operativo, información del volumen del disco, tamaño del disco e información del software antivirus, y obtiene el idioma predeterminado del sistema. Los datos de reconocimiento se filtran al servidor controlado por el atacante a través de una solicitud HTTP POST a la URL en el siguiente formato.

hxxp[://]216[.]238[.]70[.]224/20/a/20/index[.]php?AT=<nombre de usuario>%20<nombre de host>%20<versión del sistema operativo>&MD =<Software antivirus>

El troyano tiene capacidades de administración de escritorio remoto, como crear y eliminar directorios en la máquina de la víctima, verificar si existe un archivo en el sistema de archivos de la víctima y obtener los atributos del archivo, recopilar información de tamaño y versión y descargar archivos desde una URL. También tiene capacidades para robar información, como registrar pulsaciones de teclas a través de sondeos y ganchos de aplicaciones, capturar capturas de pantalla, manipular el portapapeles de la máquina de la víctima y rastrear los eventos del mouse.

Supervisa las ventanas de aplicaciones abiertas en el escritorio de la víctima, superpone ventanas falsas y administra las ventanas emergentes para robar información confidencial. Estas ventanas emergentes se almacenan en TFORMS en la sección RCData del ejecutable. Las siguientes capturas de pantalla muestran algunos de los formularios configurados para robar códigos de seguridad de un solo uso o tokens de software de las aplicaciones web de banca en línea de la víctima.

Talos detectó comandos SQL codificados en el binario troyano diseñado para recopilar datos de inicio de sesión de las carpetas de perfil de usuario de Google Chrome escribiéndolos en un archivo fuente de la base de datos llamado “login_data.sql” y creando consultas SQL para producir las tablas de la base de datos para almacenar los datos robados. . El comportamiento del análisis dinámico en nuestro entorno de análisis nos mostró que el archivo fuente de la base de datos “login_data.sql” contiene los detalles de inicio de sesión y las URL asociadas de los archivos de la base de datos de Google Chrome.

El troyano tiene varias técnicas anti-análisis y anti-máquina virtual (VM) incorporadas para evitar el análisis en entornos limitados automatizados y para frustrar la depuración:

• Detecta la presencia de depuradores a través de las API IsDebuggerPresent y OutputDebugStringW, y busca puntos de interrupción del sistema.
• Crea procesos que habilitan los privilegios de depuración ajustando el token de proceso “Depurar”, lee el Bloque de entorno de proceso y consulta DebugPort para verificar si el malware se está depurando.
• Comprueba la existencia de productos antivirus como AVG y Avast comprobando las DLL avghookx.dll, avghooka.dll y snxhk.dll.
• Detecta los entornos sandbox, como los sandboxes SunBelt y Joe.
• Comprueba las claves de registro para detectar entornos virtuales como VMWare, Virtual Box, Wine, Microsoft Hyper-V o Windows Virtual PC.

La herramienta de spam basada en Delphi extrae direcciones de correo electrónico y envía spam

Una herramienta de correo no deseado actúa como otra carga útil en esta campaña, lo que permite al atacante hacerse cargo de las otras cuentas de correo electrónico de la víctima y enviar correos electrónicos no deseados a los contactos que se encuentran dentro de ellos. La herramienta de spam es una DLL de 32 bits escrita en Delphi y, cuando se ejecuta en la máquina de la víctima, intentará comprometer las credenciales de inicio de sesión de la víctima para los servicios de correo web como Yahoo, Gmail y Hotmail. Al comprometer las credenciales, la herramienta de spam toma el control total de la cuenta de correo electrónico de la víctima, crea mensajes de spam y los envía a las ID de correo electrónico que se encuentran en el buzón de la víctima.

La herramienta también filtra la dirección de correo electrónico al servidor C2 mediante una solicitud HTTP POST. La herramienta de spam también nos mostró capacidades de robo de información, como registrar pulsaciones de teclas, capturar capturas de pantalla y rastrear o interceptar los eventos del mouse en la máquina de la víctima.

Nuevo Horabot desplegado para propagar la infección

Talos descubrió Horabot, un programa de botnet de Outlook Phishing escrito en PowerShell. Tiene un código Visual Basic incorporado que permite al actor de amenazas controlar el buzón de Outlook de la víctima, filtrar las direcciones de correo electrónico de los contactos y enviar correos electrónicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buzón de la víctima. Los correos electrónicos de phishing tienen como tema un recibo de impuestos o una factura de servicio y el atacante utiliza el asunto y el cuerpo del correo electrónico, en el formato que se muestra a continuación:

Asunto del correo electrónico de phishing:

• Se adjunta la factura del servicio <mes calendario en español> :ATT <dd/mm/yyy> <hh:mm:ss> <AM/PM>
• Comprobante Fiscal Digital <mes calendario en español> :ATT <dd/mm/aaaa> <hh:mm:ss> <AM/PM>

Cuerpo del correo electrónico de phishing:

• consulado los datos adjuntos, por favor. <dd/mm/aaaa> <hh:mm:ss> <AM/PM>

El juego final del atacante es entregar el troyano bancario para robar las credenciales y los datos financieros de la víctima, junto con él, están entregando Horabot y una herramienta de spam separada para propagar la infección mediante el envío de correos electrónicos de phishing a todas las ID de correo electrónico validadas en el buzón de la víctima. El atacante está utilizando esta técnica para minimizar las posibilidades de que se rastree su infracción de phishing.

Horabot, durante su fase inicial de ejecución, inicializa la aplicación Outlook de escritorio de la víctima cargando el espacio de nombres “Microsoft.Office.Interop.Outlook” en la instancia de PowerShell para crear el objeto de la aplicación Outlook para cargar el espacio de nombres MAPI. El script también inicializa una matriz para almacenar las direcciones de correo electrónico robadas y crea una carpeta llamada “a160323” en “C:\Users\Public\”. como marcador de infección.

Después de la inicialización, el script busca los archivos de datos de Outlook en la carpeta de datos de la aplicación de Outlook del perfil de la víctima. Carga y accede a la libreta de direcciones y contactos de la víctima, si existen. Enumera todas las carpetas y correos electrónicos en el archivo de datos de Outlook de la víctima y extrae las direcciones de correo electrónico de los campos de remitente, destinatarios, CC y CCO de los correos electrónicos. Durante este proceso, el script verifica los valores del objeto “AddressEntryUserType” para determinar si la dirección de correo electrónico es uno de los tipos que se enumeran a continuación:

• agente de cambio
• organización de intercambio
• Lista de distribución de intercambio
• Carpeta pública de intercambio
• Dirección que pertenece al mismo o diferente bosque de intercambio
• Dirección que utiliza el Protocolo ligero de acceso a directorios [LDAP]
• Dirección que utiliza el Protocolo simple de transferencia de correo [SMTP]

El script tiene una función de validación de formato de dirección de correo electrónico que compara todas las direcciones de correo electrónico extraídas con una expresión regular. Una vez que se validan correctamente, las direcciones se agregan a la matriz de recopilación de direcciones de correo electrónico.

A continuación, la secuencia de comandos escribe las direcciones de correo electrónico extraídas de la matriz en un archivo llamado “.Outlook” creado por la secuencia de comandos en la carpeta de datos de la aplicación de Microsoft del perfil de usuario móvil.

Luego, el script codifica las direcciones de correo electrónico en el archivo “.Outlook” en un flujo de datos. Usando la función GetRequestStream, el script solicita un flujo de datos del servidor C2 a través de la URL hxxp[://]139[.]177[.]193[.]74/esp/12/151222/au/tst/index[ .]php?list y tras la respuesta exitosa, las direcciones de correo electrónico codificadas se extraen.

Después de filtrar las direcciones de correo electrónico, el script crea una carpeta “fb” en la carpeta de usuario pública y crea un archivo HTML en ella, llamado “adjuntos_1503.html” en nuestro análisis de muestra. Luego, el script descarga el contenido de un archivo HTML almacenado en un servidor controlado por el atacante y lo escribe en el archivo HTML colocado en la carpeta “fb”. El archivo HTML tiene una URL maliciosa incrustada “hxxps[://]facturacionmarzo[.]cloud/e/archivos[.]pdf[.]html” en su sección de metadatos. A continuación, el script crea un correo electrónico con un asunto y un cuerpo codificados y adjunta el archivo HTML de la carpeta “fb”. Luego, el correo electrónico de phishing se envía a la lista de direcciones de correo electrónico extraídas una a la vez, eliminando la carpeta “fb” para cubrir sus rutas y evitar la detección.

Cobertura

Cisco Secure Endpoint (anteriormente AMP para Endpoints) es ideal para evitar la ejecución del malware que se detalla en esta publicación. Pruebe Secure Endpoint gratis aquí.

El análisis web de Cisco Secure Web Appliance evita el acceso a sitios web maliciosos y detecta el malware utilizado en estos ataques.

Cisco Secure Email (anteriormente Cisco Email Security) puede bloquear correos electrónicos maliciosos enviados por actores de amenazas como parte de su campaña. Puede probar el correo electrónico seguro de forma gratuita aquí .

Los dispositivos Cisco Secure Firewall (anteriormente Next-Generation Firewall y Firepower NGFW) como Threat Defense Virtual , Adaptive Security Appliance y Meraki MX pueden detectar actividades maliciosas asociadas con esta amenaza.

Cisco Secure Malware Analytics (Threat Grid) identifica binarios maliciosos y crea protección en todos los productos Cisco Secure.

Umbrella , la puerta de enlace de Internet segura (SIG) de Cisco, impide que los usuarios se conecten a dominios, IP y URL maliciosos, ya sea que los usuarios estén dentro o fuera de la red corporativa. Regístrese aquí para obtener una prueba gratuita de Umbrella .

Cisco Secure Web Appliance (anteriormente Web Security Appliance) bloquea automáticamente los sitios potencialmente peligrosos y prueba los sitios sospechosos antes de que los usuarios accedan a ellos.

Las protecciones adicionales con contexto para su entorno específico y los datos de amenazas están disponibles en el Centro de administración de firewall .

Cisco Duo proporciona autenticación multifactor para que los usuarios garanticen que solo aquellos autorizados accedan a su red.

Los clientes del conjunto de reglas de suscriptor de código abierto de Snort pueden mantenerse actualizados descargando el último paquete de reglas disponible para comprar en Snort.org . Los SID de Snort para esta amenaza son 61839-61856 para Snort 2 y 300569-300577 para Snort 3.

Las detecciones ClamAV están disponibles para esta amenaza:

Txt.Loader.Horabot-10003071-0

Ps1.Downloader.Horabot-10003078-0

Win.Trojan.DelphiTrojanBanking-10003087-0

Win.Trojan.DelphiTrojanBanking-10003088-0

Txt.Malware.Horabot-10003089-0

Txt.Malware.Horabot-10003090-0

Txt.Malware.Horabot-10003091-0

Win.Tool.HorabotSpamTool-10003092-0

COI

Los indicadores de compromiso asociados con esta amenaza se pueden encontrar aquí .