{"id":2728,"date":"2023-06-02T12:20:18","date_gmt":"2023-06-02T15:20:18","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=2728"},"modified":"2023-06-02T12:20:18","modified_gmt":"2023-06-02T15:20:18","slug":"horabot-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/horabot-001\/","title":{"rendered":"Horabot 2023: la nueva campa\u00f1a que apunta a Am\u00e9rica Latina"},"content":{"rendered":"<div class=\"feature-image-wrapper my-5\"><\/div>\n<h1 class=\"text-center\">Cisco Talos ha observado a un actor de amenazas que despliega un programa de botnet previamente no identificado llamado &#8220;Horabot&#8221;.<\/h1>\n<p>&nbsp;<\/p>\n<section class=\"post-content-wrapper mt-5\">\n<div class=\"post-content\">\n<ul>\n<li>Harbot parece estar apuntando a usuarios de habla hispana en las Am\u00e9ricas y, seg\u00fan nuestro an\u00e1lisis, puede estar ubicado en Brasil.<\/li>\n<li>Horabot permite que el actor de amenazas controle el buz\u00f3n de correo de Outlook de la v\u00edctima, extraiga las direcciones de correo electr\u00f3nico de los contactos y env\u00ede correos electr\u00f3nicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buz\u00f3n de la v\u00edctima.<\/li>\n<li>El troyano bancario puede recopilar las credenciales de inicio de sesi\u00f3n de la v\u00edctima para varias cuentas en l\u00ednea, informaci\u00f3n del sistema operativo y pulsaciones de teclas.\u00a0Tambi\u00e9n roba c\u00f3digos de seguridad de un solo uso o tokens de software de las aplicaciones de banca en l\u00ednea de la v\u00edctima.<\/li>\n<li>La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook, lo que permite que el actor de amenazas tome el control de esos buzones, extraiga las direcciones de correo electr\u00f3nico de sus contactos y env\u00ede correos electr\u00f3nicos no deseados.<\/li>\n<\/ul>\n<h1 id=\"victimology\">Victimolog\u00eda<\/h1>\n<p>Los ataques se dirigen principalmente a usuarios en M\u00e9xico, con algunas infecciones en Uruguay, Brasil, Venezuela, Argentina, Guatemala y Panam\u00e1.<\/p>\n<p>Al analizar los correos electr\u00f3nicos de phishing utilizados en la campa\u00f1a, Talos identific\u00f3 que los usuarios de organizaciones en varias verticales comerciales, incluidas empresas de contabilidad, construcci\u00f3n e ingenier\u00eda, distribuci\u00f3n mayorista y empresas de inversi\u00f3n, se han visto afectados.<\/p>\n<p>Sin embargo, el atacante utiliza Horabot y la herramienta de spam en esta campa\u00f1a para propagar a\u00fan m\u00e1s el ataque mediante el env\u00edo de correos electr\u00f3nicos de phishing adicionales a los contactos de la v\u00edctima, lo que significa que los usuarios de habla hispana de organizaciones en verticales adicionales probablemente tambi\u00e9n se vean afectados.<\/p>\n<figure id=\"attachment_2730\" aria-describedby=\"caption-attachment-2730\" style=\"width: 400px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/tinywow_data-src-image-551626ee-0318-4678-abac-ec6c0620a177_25431776.webp\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-2730 size-full\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/tinywow_data-src-image-551626ee-0318-4678-abac-ec6c0620a177_25431776-e1685718215219.webp\" alt=\"Horabot\" width=\"400\" height=\"475\" title=\"\" srcset=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/tinywow_data-src-image-551626ee-0318-4678-abac-ec6c0620a177_25431776-e1685718215219.webp 400w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/tinywow_data-src-image-551626ee-0318-4678-abac-ec6c0620a177_25431776-e1685718215219-253x300.webp 253w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/a><figcaption id=\"caption-attachment-2730\" class=\"wp-caption-text\">Horabot<\/figcaption><\/figure>\n<h1 id=\"attacker-infrastructure-dates-back-to-nov-2020\">La infraestructura del atacante se remonta a noviembre de 2020<\/h1>\n<p>Talos descubri\u00f3 que el atacante en esta campa\u00f1a est\u00e1 utilizando m\u00faltiples hosts, incluida una instancia de Elastic Compute Cloud (EC2) de Amazon Web Services (AWS), a la que se accede a trav\u00e9s de su URL p\u00fablica, para alojar los archivos maliciosos.<\/p>\n<p>Durante nuestro an\u00e1lisis, Talos observ\u00f3 que un servidor malicioso en la direcci\u00f3n IP 185[.]45[.]195[.]226 alojaba el script de descarga de PowerShell y ten\u00eda un directorio abierto que el atacante finalmente deshabilit\u00f3.<\/p>\n<p>Otro servidor malicioso, 216[.]238[.]70[.]224, aloj\u00f3 el archivo ZIP que conten\u00eda las cargas \u00fatiles.<\/p>\n<p>Lo m\u00e1s probable es que se trate de un servidor privado virtual (VPS) detr\u00e1s del cual el atacante ha estacionado el servidor de comando y control (C2) real, lo que nos impide identificar el C2 real.<\/p>\n<p>El atacante tambi\u00e9n us\u00f3 dominios similares en esta campa\u00f1a para llevar a cabo actividades maliciosas y evadir la detecci\u00f3n de la red.<\/p>\n<p>Seg\u00fan el an\u00e1lisis de Talos de la informaci\u00f3n de registro de dominio para la infraestructura del atacante, Talos eval\u00faa con mucha confianza que esta campa\u00f1a comenz\u00f3 en noviembre de 2020 y ha estado en curso hasta 2023. Seg\u00fan los registros de WHOIS para el sitio web de dominio tributario[.], utilizado en este campa\u00f1a para alojar las herramientas del atacante, as\u00ed como los datos extra\u00eddos, el dominio se registr\u00f3 en julio de 2022 y el registrante se encontraba fuera de Brasil.\u00a0Este nombre de dominio tambi\u00e9n se parec\u00eda al dominio leg\u00edtimo de la Agencia Tributaria Mexicana, una t\u00e1ctica que el atacante probablemente adopt\u00f3 para disfrazar el tr\u00e1fico malicioso.\u00a0Las solicitudes de DNS al sitio web tributario[.], como se observa en Cisco Umbrella, se muestran a continuaci\u00f3n.<\/p>\n<figure id=\"attachment_2731\" aria-describedby=\"caption-attachment-2731\" style=\"width: 503px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Horabot-2023-e1685718381875.webp\"><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-2731\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Horabot-2023-e1685718381875.webp\" alt=\"Horabot 2023\" width=\"503\" height=\"279\" title=\"\" srcset=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Horabot-2023-e1685718381875.webp 400w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Horabot-2023-e1685718381875-300x167.webp 300w\" sizes=\"auto, (max-width: 503px) 100vw, 503px\" \/><\/a><figcaption id=\"caption-attachment-2731\" class=\"wp-caption-text\">Horabot 2023<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<table>\n<colgroup>\n<col width=\"172\" \/>\n<col width=\"155\" \/><\/colgroup>\n<tbody>\n<tr>\n<td>\n<p dir=\"ltr\"><b>Dominios maliciosos<\/b><\/p>\n<\/td>\n<td>\n<p dir=\"ltr\"><b>Periodo de registro<\/b><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">m9b4s2[.]sitio<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">noviembre 2020<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">sitio web tributario[.]<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">julio 2022<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">wiqp[.]xyz<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">agosto 2022<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">ckws[.]info<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">enero 2023<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">amarte[.]tienda<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">marzo 2023<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h1 id=\"multi-stage-attack-chain-uses-powershell-downloader-and-dll-sideloading\">La cadena de ataque de varias etapas utiliza el descargador de PowerShell y la carga lateral de DLL<\/h1>\n<p>Esta campa\u00f1a implica una cadena de ataque de varias etapas que comienza con un correo electr\u00f3nico de phishing y conduce a la entrega de la carga mediante la ejecuci\u00f3n de un script de descarga de PowerShell y la transferencia a ejecutables leg\u00edtimos.<\/p>\n<figure id=\"attachment_2732\" aria-describedby=\"caption-attachment-2732\" style=\"width: 500px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/tinywow_data-src-image-44dcc511-34b5-46ba-96b2-586723fbcdfc_25432249-e1685718526621.webp\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-2732\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/tinywow_data-src-image-44dcc511-34b5-46ba-96b2-586723fbcdfc_25432249-e1685718526621.webp\" alt=\"Horabot la nueva campa\u00f1a que corre sobre Am\u00e9rica Latina\" width=\"500\" height=\"481\" title=\"\" srcset=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/tinywow_data-src-image-44dcc511-34b5-46ba-96b2-586723fbcdfc_25432249-e1685718526621.webp 500w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/tinywow_data-src-image-44dcc511-34b5-46ba-96b2-586723fbcdfc_25432249-e1685718526621-300x289.webp 300w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/a><figcaption id=\"caption-attachment-2732\" class=\"wp-caption-text\">Horabot la nueva campa\u00f1a que corre sobre Am\u00e9rica Latina<\/figcaption><\/figure>\n<p>La infecci\u00f3n comienza con un correo electr\u00f3nico de phishing relacionado con el impuesto sobre la renta escrito en espa\u00f1ol, disfrazado de notificaci\u00f3n de recibo de impuestos e incitando a los usuarios a abrir el archivo HTML malicioso adjunto.<\/p>\n<figure id=\"attachment_2733\" aria-describedby=\"caption-attachment-2733\" style=\"width: 455px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-d1f62ce4-fa04-4ed9-a4fc-dadb016dc921.png\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-2733\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-d1f62ce4-fa04-4ed9-a4fc-dadb016dc921.png\" alt=\"Ejemplo de correo electr\u00f3nico de phishing.\" width=\"455\" height=\"190\" title=\"\" srcset=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-d1f62ce4-fa04-4ed9-a4fc-dadb016dc921.png 455w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-d1f62ce4-fa04-4ed9-a4fc-dadb016dc921-300x125.png 300w\" sizes=\"auto, (max-width: 455px) 100vw, 455px\" \/><\/a><figcaption id=\"caption-attachment-2733\" class=\"wp-caption-text\">Ejemplo de correo electr\u00f3nico de phishing.<\/figcaption><\/figure>\n<p>Cuando una v\u00edctima abre el archivo adjunto HTML, se inicia una URL incrustada en el navegador de la v\u00edctima, que redirige a otro archivo HTML malicioso desde una instancia EC2 de AWS controlada por el atacante.\u00a0El contenido que se muestra en el navegador de la v\u00edctima los atrae para que hagan clic en un hiperv\u00ednculo malicioso incrustado que descarga un archivo RAR.<\/p>\n<figure id=\"attachment_2734\" aria-describedby=\"caption-attachment-2734\" style=\"width: 500px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Pagina-web-maliciosa-disfrazada-e1685718658610.png\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-2734\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Pagina-web-maliciosa-disfrazada-e1685718658610.png\" alt=\"P\u00e1gina web maliciosa disfrazada.\" width=\"500\" height=\"210\" title=\"\" srcset=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Pagina-web-maliciosa-disfrazada-e1685718658610.png 500w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Pagina-web-maliciosa-disfrazada-e1685718658610-300x126.png 300w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/a><figcaption id=\"caption-attachment-2734\" class=\"wp-caption-text\">P\u00e1gina web maliciosa disfrazada.<\/figcaption><\/figure>\n<p>El archivo RAR contiene un archivo por lotes con extensi\u00f3n CMD que se ejecuta cuando la v\u00edctima abre el contenido del archivo.\u00a0El archivo por lotes descarga el script de descarga de PowerShell desde un servidor controlado por un atacante y lo ejecuta a trav\u00e9s de los comandos de PowerShell.\u00a0El script de descarga de PowerShell descargar\u00e1 un archivo ZIP que contiene las DLL de carga \u00fatil y algunos ejecutables y DLL leg\u00edtimos.\u00a0Crea archivos de acceso directo de Windows configurados para ejecutar las cargas \u00fatiles en la carpeta de inicio de la m\u00e1quina de la v\u00edctima y reinicia la m\u00e1quina despu\u00e9s de 10 segundos.<\/p>\n<p>Despu\u00e9s de que se reinicia la m\u00e1quina de la v\u00edctima, los archivos maliciosos de inicio de Windows ejecutan las cargas descarg\u00e1ndolas en los ejecutables leg\u00edtimos y descargando y ejecutando otros dos scripts de PowerShell desde un servidor diferente controlado por el atacante.\u00a0Uno es el script de descarga de PowerShell, que el atacante intenta ejecutar para volver a infectar la m\u00e1quina de la v\u00edctima, y \u200b\u200botro es Horabot.<\/p>\n<h1 id=\"three-layer-infection-chain-delivers-and-detonates-the-payloads\">La cadena de infecci\u00f3n de tres capas entrega y detona las cargas \u00fatiles<\/h1>\n<h2 id=\"malicious-batch-file-downloads-the-powershell-downloader\">El archivo por lotes malicioso descarga el descargador de PowerShell<\/h2>\n<p>El archivo RAR que contiene un archivo por lotes malicioso con una extensi\u00f3n .cmd se descarga en la m\u00e1quina del usuario.\u00a0Seg\u00fan las instrucciones de la p\u00e1gina HTML, si el usuario abre el archivo CMD, el script por lotes malicioso ejecuta un comando de PowerShell incorporado para descargar el script de PowerShell de la siguiente etapa del servidor y ejecutarlo en la m\u00e1quina de la v\u00edctima.<\/p>\n<h2 id=\"powershell-script-downloads-the-payloads\">El script de PowerShell descarga las cargas \u00fatiles<\/h2>\n<p>El script de descarga de PowerShell malicioso inicia varios procesos que descargan las cargas \u00fatiles y reinician la m\u00e1quina de la v\u00edctima.\u00a0El script est\u00e1 muy ofuscado con s\u00edmbolos aleatorios que sustituyen las instrucciones durante el tiempo de ejecuci\u00f3n y las cadenas codificadas en base64.\u00a0En la etapa inicial de la ejecuci\u00f3n, el script decodifica las cadenas codificadas en base64 y las inicializa.\u00a0Ejecuta una funci\u00f3n que utiliza caracteres alfanum\u00e9ricos y el car\u00e1cter especial \u201c_\u201d para generar un nombre aleatorio y crea una carpeta con el nombre aleatorio en el directorio ra\u00edz de la m\u00e1quina de la v\u00edctima.\u00a0El nombre aleatorio generado por la muestra durante nuestro an\u00e1lisis fue \u201c_upyqta2_J\u201d.\u00a0El script usa este nombre aleatorio eventualmente para crear otras carpetas y archivos.<\/p>\n<p>El script crea otros dos scripts por lotes maliciosos con la extensi\u00f3n .cmd en la carpeta &#8220;\/Users\/Public&#8221;.\u00a0Luego, crea dos archivos de acceso directo de Windows en la carpeta de inicio de Windows utilizando el \u00edcono de la aplicaci\u00f3n Internet Explorer y las rutas de destino que apuntan a los dos scripts por lotes descartados.\u00a0&lt;deskto_name&gt;S.cmd y &lt;desktop_name&gt;Sy.cmd son las convenciones de nomenclatura utilizadas.<\/p>\n<figure id=\"attachment_2735\" aria-describedby=\"caption-attachment-2735\" style=\"width: 500px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-35d16ce3-d898-4715-a76d-c8661422fd09-e1685718747507.png\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-2735\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-35d16ce3-d898-4715-a76d-c8661422fd09-e1685718747507.png\" alt=\"Script por lotes del descargador.\" width=\"500\" height=\"265\" title=\"\" srcset=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-35d16ce3-d898-4715-a76d-c8661422fd09-e1685718747507.png 500w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-35d16ce3-d898-4715-a76d-c8661422fd09-e1685718747507-300x159.png 300w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/a><figcaption id=\"caption-attachment-2735\" class=\"wp-caption-text\">Script por lotes del descargador.<\/figcaption><\/figure>\n<p>El script tambi\u00e9n crea otros tres archivos de acceso directo de Windows en la carpeta de inicio de la m\u00e1quina de la v\u00edctima, con los detalles de la ruta de destino apuntando a las carpetas donde finalmente se descargan las cargas \u00fatiles.<\/p>\n<p>El atacante us\u00f3 el icono de Internet Explorer para los archivos de acceso directo ca\u00eddos.\u00a0Talos compil\u00f3 una tabla que muestra los archivos maliciosos de acceso directo de Windows y sus rutas relativas con los argumentos de la l\u00ednea de comandos.<\/p>\n<table>\n<colgroup>\n<col width=\"113\" \/>\n<col width=\"303\" \/>\n<col width=\"208\" \/><\/colgroup>\n<tbody>\n<tr>\n<td>\n<p dir=\"ltr\"><b>Archivos de acceso directo<\/b><\/p>\n<\/td>\n<td>\n<p dir=\"ltr\"><b>Camino relativo<\/b><\/p>\n<\/td>\n<td>\n<p dir=\"ltr\"><b>Argumentos de l\u00ednea de comando<\/b><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_JAA.lnk<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">..\\..\\..\\..\\..\\..\\..\\..\\..\\_upyqta2_J\\_upyqta2_Ji7.exe<\/p>\n<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_JAT.lnk<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">..\\..\\..\\..\\..\\..\\..\\..\\..\\_upyqta2_J\\_upyqta2_J.exe<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">C:\\_upyqta2_J\\_upyqta2_J.at<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_JEX.lnk<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">..\\..\\..\\..\\..\\..\\..\\..\\..\\_upyqta2_J\\_upyqta2_J.exe<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">C:\\_upyqta2_J\\_upyqta2_J.ai<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_Jy.lnk<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">..\\..\\..\\..\\..\\..\\..\\..\\Public\\DESKTOP-UT9NJ4Sy.cmd<\/p>\n<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_J.lnk<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">..\\..\\..\\..\\..\\..\\..\\..\\Public\\DESKTOP-UT9NJ4S.cmd<\/p>\n<\/td>\n<td><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>A continuaci\u00f3n, el script descarga un archivo ZIP malicioso, \u201cm.zip\u201d, desde un servidor que utiliza la URL \u201chxxp[:\/\/]216[.]238[.]70[.]224\/20\/t\/e\/m .zip\u201d a la carpeta de nombre aleatorio.\u00a0El script cambia el nombre del archivo descargado con un nombre aleatorio y desinfla su contenido.\u00a0Los contenidos desinflados se renombran usando caracteres aleatorios, luego se elimina el archivo ZIP malicioso.\u00a0El script tambi\u00e9n escribe la ruta del archivo ejecutable, \u201c_upyqta2_Ji7.exe\u201d, en la clave de registro de la clase \u201cHKEY_CURRENT_USER\\software\\Classes\\ms-settings\\shell\\open\\command\u201d y reinicia la m\u00e1quina de la v\u00edctima despu\u00e9s de 10 segundos usando el comando &#8220;apagar \/r \/t 10&#8221;.<\/p>\n<p>El contenido desinflado del archivo ZIP malicioso se muestra en la siguiente tabla con su descripci\u00f3n.<\/p>\n<table>\n<colgroup>\n<col width=\"258\" \/>\n<col width=\"348\" \/><\/colgroup>\n<tbody>\n<tr>\n<td>\n<p dir=\"ltr\"><b>Archivos ca\u00eddos<\/b><\/p>\n<\/td>\n<td>\n<p dir=\"ltr\"><b>Descripci\u00f3n<\/b><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_J.ai<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">Script compilado de AutoIt<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_J.at<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">Script compilado de AutoIt<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_J.exe<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">Int\u00e9rprete AutoIt<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_J.ia<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">DLL troyano cifrado<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_J.mdat<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">DLL de la herramienta de correo no deseado cifrado<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">_upyqta2_Ji7.exe<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">Kinit.exe, un ejecutable leg\u00edtimo<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">jli.dll<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">troyano bancario<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">MSVCR100.dll<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">DLL leg\u00edtimo<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p dir=\"ltr\">WebView2Loader.dll<\/p>\n<\/td>\n<td>\n<p dir=\"ltr\">DLL leg\u00edtimo<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 id=\"malicious-shortcut-files-detonate-the-payloads-after-system-restart\">Los archivos de acceso directo maliciosos detonan las cargas \u00fatiles despu\u00e9s de reiniciar el sistema<\/h2>\n<p>Despu\u00e9s de que el descargador de PowerShell reinicia la m\u00e1quina de la v\u00edctima, se ejecutan los archivos maliciosos de acceso directo de Windows colocados en la carpeta de inicio de Windows, ejecutando las cargas \u00fatiles utilizadas en el ataque.\u00a0Esta secci\u00f3n describe el comportamiento de cada uno de los archivos de acceso directo.<\/p>\n<h3 id=\"upyqta2jaalnk\">_upyqta2_JAA.lnk<\/h3>\n<figure id=\"attachment_2736\" aria-describedby=\"caption-attachment-2736\" style=\"width: 501px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-c015a3a7-55f4-4513-8537-c1963dd557d4-e1685718847645.png\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-2736\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-c015a3a7-55f4-4513-8537-c1963dd557d4-e1685718847645.png\" alt=\"Este archivo de enlace &quot;_upyqta2_JAA.lnk&quot; descargar\u00e1 una DLL maliciosa llamada &quot;jli.dll&quot;, un troyano bancario, mediante la ejecuci\u00f3n de &quot;_upyqta2_Ji7.exe&quot;, que en realidad es una copia leg\u00edtima de &quot;kinit.exe&quot; que el script de descarga de PowerShell suelta.\u00a0\" width=\"501\" height=\"91\" title=\"\" srcset=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-c015a3a7-55f4-4513-8537-c1963dd557d4-e1685718847645.png 501w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-c015a3a7-55f4-4513-8537-c1963dd557d4-e1685718847645-300x54.png 300w\" sizes=\"auto, (max-width: 501px) 100vw, 501px\" \/><\/a><figcaption id=\"caption-attachment-2736\" class=\"wp-caption-text\">Este archivo de enlace &#8220;_upyqta2_JAA.lnk&#8221; descargar\u00e1 una DLL maliciosa llamada &#8220;jli.dll&#8221;, un troyano bancario, mediante la ejecuci\u00f3n de &#8220;_upyqta2_Ji7.exe&#8221;, que en realidad es una copia leg\u00edtima de &#8220;kinit.exe&#8221; que el script de descarga de PowerShell suelta.<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<h3 id=\"upyqta2jexlnk\">_upyqta2_JEX.lnk<\/h3>\n<figure id=\"attachment_2737\" aria-describedby=\"caption-attachment-2737\" style=\"width: 500px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-2c405972-5847-42f7-8921-b89e116a5e48-e1685718933642.png\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-2737\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-2c405972-5847-42f7-8921-b89e116a5e48-e1685718933642.png\" alt=\"Este archivo de enlace ejecuta el script AutoIt compilado &quot;_upyqta2_J.ai&quot; al ejecutar el ejecutable &quot;_upyqta2_J.exe&quot;, que es un int\u00e9rprete leg\u00edtimo de AutoIt.\u00a0El script de AutoIt descifra el cifrado &quot;_upyqta2_J.ia&quot; y suelta el DLL &quot;_upyqta2_J.ia.a1&quot; con una extensi\u00f3n de archivo falsificada que tiene una funci\u00f3n maliciosa codificada &quot;A040822_1&quot;.\u00a0 Luego, el script de AutoIt descargar\u00e1 el archivo DLL &quot;_upyqta2_J.ia.a1&quot; en el proceso del int\u00e9rprete de AutoIt y ejecutar\u00e1 la funci\u00f3n maliciosa &quot;A040822_1&quot; con el par\u00e1metro &quot;STRUCT&quot;.\u00a0El DLL malicioso descifrado \u201c_upyqta2_J.ia.a1\u201d es otra copia del troyano bancario con capacidades de ladr\u00f3n adicionales, como registro de teclas, copia de datos del portapapeles, captura de pantalla y seguimiento del mouse.\" width=\"500\" height=\"127\" title=\"\" srcset=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-2c405972-5847-42f7-8921-b89e116a5e48-e1685718933642.png 500w, https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/data-src-image-2c405972-5847-42f7-8921-b89e116a5e48-e1685718933642-300x76.png 300w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/a><figcaption id=\"caption-attachment-2737\" class=\"wp-caption-text\">Este archivo de enlace ejecuta el script AutoIt compilado &#8220;_upyqta2_J.ai&#8221; al ejecutar el ejecutable &#8220;_upyqta2_J.exe&#8221;, que es un int\u00e9rprete leg\u00edtimo de AutoIt.\u00a0El script de AutoIt descifra el cifrado &#8220;_upyqta2_J.ia&#8221; y suelta el DLL &#8220;_upyqta2_J.ia.a1&#8221; con una extensi\u00f3n de archivo falsificada que tiene una funci\u00f3n maliciosa codificada &#8220;A040822_1&#8221;.\u00a0<br \/>Luego, el script de AutoIt descargar\u00e1 el archivo DLL &#8220;_upyqta2_J.ia.a1&#8221; en el proceso del int\u00e9rprete de AutoIt y ejecutar\u00e1 la funci\u00f3n maliciosa &#8220;A040822_1&#8221; con el par\u00e1metro &#8220;STRUCT&#8221;.\u00a0El DLL malicioso descifrado \u201c_upyqta2_J.ia.a1\u201d es otra copia del troyano bancario con capacidades de ladr\u00f3n adicionales, como registro de teclas, copia de datos del portapapeles, captura de pantalla y seguimiento del mouse.<\/figcaption><\/figure>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-e8a8fec6-c669-4eb2-aae6-35f3921a8827.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-e8a8fec6-c669-4eb2-aae6-35f3921a8827.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-e8a8fec6-c669-4eb2-aae6-35f3921a8827.png 775w\" alt=\"\" width=\"775\" height=\"166\" title=\"\"><figcaption>Un fragmento del c\u00f3digo AutoIt _Upyqta2_J.ai<\/figcaption><\/figure>\n<h3 id=\"upyqta2jatlnk\">_upyqta2_JAT.lnk<\/h3>\n<figure class=\"kg-card kg-image-card\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-abcc7998-698f-4a10-bbbc-494a42bc4c4a.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-abcc7998-698f-4a10-bbbc-494a42bc4c4a.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-abcc7998-698f-4a10-bbbc-494a42bc4c4a.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-abcc7998-698f-4a10-bbbc-494a42bc4c4a.png 1600w\" alt=\"\" width=\"1600\" height=\"436\" title=\"\"><\/figure>\n<p>Este archivo de enlace realiza los mismos pasos que &#8220;_upyqta2_JEX.lnk&#8221; al ejecutar el script de AutoIt &#8220;_upyqta2_J.at&#8221; para descifrar &#8220;_upyqta2_J.mdat&#8221; y crear la DLL &#8220;_upyqta2_J.mdat.a1&#8221; con una extensi\u00f3n falsificada.\u00a0Luego, el script de AutoIt descarga la DLL en el proceso del int\u00e9rprete de AutoIt y ejecuta la funci\u00f3n maliciosa &#8220;B080223_AT&#8221; con el par\u00e1metro &#8220;STRUCT&#8221;.\u00a0La DLL maliciosa \u201c_upyqta2_J.mdat.a1\u201d es una herramienta de spam con capacidad para robar informaci\u00f3n.<\/p>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-493b8bc7-38a3-4415-9572-c09961882ba2.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-493b8bc7-38a3-4415-9572-c09961882ba2.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-493b8bc7-38a3-4415-9572-c09961882ba2.png 899w\" alt=\"\" width=\"899\" height=\"166\" title=\"\"><figcaption>Un fragmento del c\u00f3digo AutoIt _Upyqta2_J.at<\/figcaption><\/figure>\n<h3 id=\"upyqta2jlnk\">_upyqta2_J.lnk<\/h3>\n<figure class=\"kg-card kg-image-card\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-85a38d51-758d-4fd1-9902-fb0da8c6a535.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-85a38d51-758d-4fd1-9902-fb0da8c6a535.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-85a38d51-758d-4fd1-9902-fb0da8c6a535.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-85a38d51-758d-4fd1-9902-fb0da8c6a535.png 1600w\" alt=\"\" width=\"1600\" height=\"416\" title=\"\"><\/figure>\n<p>Este archivo de enlace ejecuta uno de los archivos por lotes descartados, &#8220;&lt;nombre-del-escritorio&gt;S.cmd&#8221;.\u00a0El archivo por lotes ejecuta un comando integrado de PowerShell para descargar el script de descarga de PowerShell desde el servidor controlado por el atacante mediante la URL hxxp[:\/\/]tributaria[.]website\/esp\/12\/151222\/up\/up\u201d y lo ejecuta.\u00a0El atacante usa el descargador de PowerShell para volver a infectar la m\u00e1quina de la v\u00edctima.<\/p>\n<h3 id=\"upyqta2jylnk\">_upyqta2_Jy.lnk<\/h3>\n<p>&nbsp;<\/p>\n<p>Este archivo de enlace ejecuta otro archivo por lotes descartado, \u201c&lt;nombre_del_escritorio&gt;Sy.cmd\u201d, que ejecuta un comando de PowerShell para descargar y ejecutar el Horabot \u201cau\u201d usando la URL hxxp[:\/\/]tributaria[.]website\/esp\/12 \/151222\/au\/au.<\/p>\n<h1 id=\"payloads\">cargas \u00fatiles<\/h1>\n<p>Talos descubri\u00f3 que las cargas \u00fatiles empleadas por el atacante en esta campa\u00f1a est\u00e1n dise\u00f1adas para robar informaci\u00f3n confidencial, evadir la detecci\u00f3n y difundir correos electr\u00f3nicos de phishing adicionales a los contactos de la v\u00edctima.\u00a0El troyano bancario apunta a la informaci\u00f3n confidencial de la v\u00edctima, como las credenciales de inicio de sesi\u00f3n y los c\u00f3digos de seguridad de transacciones financieras, y registra las pulsaciones de teclas y manipula los datos del portapapeles de la m\u00e1quina de la v\u00edctima.\u00a0El troyano tambi\u00e9n tiene capacidades anti-an\u00e1lisis y anti-detecci\u00f3n para evadir los entornos virtuales y sandbox.\u00a0La herramienta de spam y Horabot reci\u00e9n identificado se emplean en el ataque para comprometer los buzones de correo de la v\u00edctima, robar las direcciones de correo electr\u00f3nico de sus contactos y enviar correos electr\u00f3nicos de phishing a los contactos de la v\u00edctima.<\/p>\n<h2 id=\"banking-trojan-targets-victim%E2%80%99s-login-credentials-and-financial-information\">El troyano bancario apunta a las credenciales de inicio de sesi\u00f3n y la informaci\u00f3n financiera de la v\u00edctima<\/h2>\n<p>El troyano bancario identificado en esta campa\u00f1a, una DLL de Windows de 32 bits escrita en el lenguaje de programaci\u00f3n Delphi y empaquetada con el empaquetador Themida, puede recopilar informaci\u00f3n del sistema, credenciales y actividad del usuario.\u00a0Este troyano se basa en una herramienta llamada\u00a0<a href=\"https:\/\/github.com\/Maickonn\/Delphi_Remote_Access_PC\" target=\"_blank\" rel=\"noopener\">Delphi_Remote_Access_PC<\/a>\u00a0, que est\u00e1 disponible p\u00fablicamente en GitHub.\u00a0Tambi\u00e9n utiliza t\u00e9cnicas similares a las de los troyanos bancarios brasile\u00f1os informados por otros investigadores de seguridad en\u00a0<a href=\"https:\/\/www.welivesecurity.com\/2020\/08\/13\/mekotio-these-arent-the-security-updates-youre-looking-for\/\" target=\"_blank\" rel=\"noopener\">ESET<\/a>\u00a0y\u00a0<a href=\"https:\/\/research.checkpoint.com\/2021\/mekotio-banker-returns-with-improved-stealth-and-ancient-encryption\/\" target=\"_blank\" rel=\"noopener\">Check Point<\/a>\u00a0en el pasado.<\/p>\n<p>El troyano realiza vigilancia en la m\u00e1quina de la v\u00edctima mediante la recopilaci\u00f3n de informaci\u00f3n del sistema, como nombres de host, direcciones IPv4, versi\u00f3n del sistema operativo, informaci\u00f3n del volumen del disco, tama\u00f1o del disco e informaci\u00f3n del software antivirus, y obtiene el idioma predeterminado del sistema.\u00a0Los datos de reconocimiento se filtran al servidor controlado por el atacante a trav\u00e9s de una solicitud HTTP POST a la URL en el siguiente formato.<\/p>\n<p>hxxp[:\/\/]216[.]238[.]70[.]224\/20\/a\/20\/index[.]php?AT=&lt;nombre de usuario&gt;%20&lt;nombre de host&gt;%20&lt;versi\u00f3n del sistema operativo&gt;&amp;MD =&lt;Software antivirus&gt;<\/p>\n<p>El troyano tiene capacidades de administraci\u00f3n de escritorio remoto, como crear y eliminar directorios en la m\u00e1quina de la v\u00edctima, verificar si existe un archivo en el sistema de archivos de la v\u00edctima y obtener los atributos del archivo, recopilar informaci\u00f3n de tama\u00f1o y versi\u00f3n y descargar archivos desde una URL.\u00a0Tambi\u00e9n tiene capacidades para robar informaci\u00f3n, como registrar pulsaciones de teclas a trav\u00e9s de sondeos y ganchos de aplicaciones, capturar capturas de pantalla, manipular el portapapeles de la m\u00e1quina de la v\u00edctima y rastrear los eventos del mouse.<\/p>\n<p>Supervisa las ventanas de aplicaciones abiertas en el escritorio de la v\u00edctima, superpone ventanas falsas y administra las ventanas emergentes para robar informaci\u00f3n confidencial.\u00a0Estas ventanas emergentes se almacenan en TFORMS en la secci\u00f3n RCData del ejecutable.\u00a0Las siguientes capturas de pantalla muestran algunos de los formularios configurados para robar c\u00f3digos de seguridad de un solo uso o tokens de software de las aplicaciones web de banca en l\u00ednea de la v\u00edctima.<\/p>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-0c23141b-79f3-400f-97e1-212118fb154f.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-0c23141b-79f3-400f-97e1-212118fb154f.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-0c23141b-79f3-400f-97e1-212118fb154f.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-0c23141b-79f3-400f-97e1-212118fb154f.png 1600w\" alt=\"\" width=\"1600\" height=\"531\" title=\"\"><figcaption>Formularios de troyanos bancarios en la secci\u00f3n de recursos binarios.\u00a0<\/figcaption><\/figure>\n<p>Talos detect\u00f3 comandos SQL codificados en el binario troyano dise\u00f1ado para recopilar datos de inicio de sesi\u00f3n de las carpetas de perfil de usuario de Google Chrome escribi\u00e9ndolos en un archivo fuente de la base de datos llamado &#8220;login_data.sql&#8221; y creando consultas SQL para producir las tablas de la base de datos para almacenar los datos robados. .\u00a0El comportamiento del an\u00e1lisis din\u00e1mico en nuestro entorno de an\u00e1lisis nos mostr\u00f3 que el archivo fuente de la base de datos &#8220;login_data.sql&#8221; contiene los detalles de inicio de sesi\u00f3n y las URL asociadas de los archivos de la base de datos de Google Chrome.<\/p>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-1aada0d0-3c87-4d3d-b526-3ecda9c19346.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-1aada0d0-3c87-4d3d-b526-3ecda9c19346.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-1aada0d0-3c87-4d3d-b526-3ecda9c19346.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-1aada0d0-3c87-4d3d-b526-3ecda9c19346.png 1600w\" alt=\"\" width=\"1600\" height=\"397\" title=\"\"><figcaption>Tabla de base de datos que contiene las credenciales de la v\u00edctima.\u00a0<\/figcaption><\/figure>\n<p>El troyano tiene varias t\u00e9cnicas anti-an\u00e1lisis y anti-m\u00e1quina virtual (VM) incorporadas para evitar el an\u00e1lisis en entornos limitados automatizados y para frustrar la depuraci\u00f3n:<\/p>\n<ul>\n<li>Detecta la presencia de depuradores a trav\u00e9s de las API IsDebuggerPresent y OutputDebugStringW, y busca puntos de interrupci\u00f3n del sistema.<\/li>\n<li>Crea procesos que habilitan los privilegios de depuraci\u00f3n ajustando el token de proceso &#8220;Depurar&#8221;, lee el Bloque de entorno de proceso y consulta DebugPort para verificar si el malware se est\u00e1 depurando.<\/li>\n<li>Comprueba la existencia de productos antivirus como AVG y Avast comprobando las DLL avghookx.dll, avghooka.dll y snxhk.dll.<\/li>\n<li>Detecta los entornos sandbox, como los sandboxes SunBelt y Joe.<\/li>\n<li>Comprueba las claves de registro para detectar entornos virtuales como VMWare, Virtual Box, Wine, Microsoft Hyper-V o Windows Virtual PC.<\/li>\n<\/ul>\n<h2 id=\"delphi-based-spam-tool-exfiltrates-email-addresses-and-sends-spam\">La herramienta de spam basada en Delphi extrae direcciones de correo electr\u00f3nico y env\u00eda spam<\/h2>\n<p>Una herramienta de correo no deseado act\u00faa como otra carga \u00fatil en esta campa\u00f1a, lo que permite al atacante hacerse cargo de las otras cuentas de correo electr\u00f3nico de la v\u00edctima y enviar correos electr\u00f3nicos no deseados a los contactos que se encuentran dentro de ellos.\u00a0La herramienta de spam es una DLL de 32 bits escrita en Delphi y, cuando se ejecuta en la m\u00e1quina de la v\u00edctima, intentar\u00e1 comprometer las credenciales de inicio de sesi\u00f3n de la v\u00edctima para los servicios de correo web como Yahoo, Gmail y Hotmail.\u00a0Al comprometer las credenciales, la herramienta de spam toma el control total de la cuenta de correo electr\u00f3nico de la v\u00edctima, crea mensajes de spam y los env\u00eda a las ID de correo electr\u00f3nico que se encuentran en el buz\u00f3n de la v\u00edctima.<\/p>\n<p>La herramienta tambi\u00e9n filtra la direcci\u00f3n de correo electr\u00f3nico al servidor C2 mediante una solicitud HTTP POST.\u00a0La herramienta de spam tambi\u00e9n nos mostr\u00f3 capacidades de robo de informaci\u00f3n, como registrar pulsaciones de teclas, capturar capturas de pantalla y rastrear o interceptar los eventos del mouse en la m\u00e1quina de la v\u00edctima.<\/p>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-968b4ff4-4830-4b05-87bf-83c736f1ae28.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-968b4ff4-4830-4b05-87bf-83c736f1ae28.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-968b4ff4-4830-4b05-87bf-83c736f1ae28.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-968b4ff4-4830-4b05-87bf-83c736f1ae28.png 1245w\" alt=\"\" width=\"1245\" height=\"945\" title=\"\"><figcaption>La funci\u00f3n de descifrado descifra la URL que apunta al servidor controlado por el atacante.<\/figcaption><\/figure>\n<h2 id=\"new-horabot-deployed-to-spread-the-infection\">Nuevo Horabot desplegado para propagar la infecci\u00f3n<\/h2>\n<p>Talos descubri\u00f3 Horabot, un programa de botnet de Outlook Phishing escrito en PowerShell.\u00a0Tiene un c\u00f3digo Visual Basic incorporado que permite al actor de amenazas controlar el buz\u00f3n de Outlook de la v\u00edctima, filtrar las direcciones de correo electr\u00f3nico de los contactos y enviar correos electr\u00f3nicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buz\u00f3n de la v\u00edctima.\u00a0Los correos electr\u00f3nicos de phishing tienen como tema un recibo de impuestos o una factura de servicio y el atacante utiliza el asunto y el cuerpo del correo electr\u00f3nico, en el formato que se muestra a continuaci\u00f3n:<\/p>\n<p>Asunto del correo electr\u00f3nico de phishing:<\/p>\n<ul>\n<li>Se adjunta la factura del servicio &lt;mes calendario en espa\u00f1ol&gt; :ATT &lt;dd\/mm\/yyy&gt; &lt;hh:mm:ss&gt; &lt;AM\/PM&gt;<\/li>\n<li>Comprobante Fiscal Digital &lt;mes calendario en espa\u00f1ol&gt; :ATT &lt;dd\/mm\/aaaa&gt; &lt;hh:mm:ss&gt; &lt;AM\/PM&gt;<\/li>\n<\/ul>\n<p>Cuerpo del correo electr\u00f3nico de phishing:<\/p>\n<ul>\n<li>consulado los datos adjuntos, por favor.\u00a0&lt;dd\/mm\/aaaa&gt; &lt;hh:mm:ss&gt; &lt;AM\/PM&gt;<\/li>\n<\/ul>\n<p>El juego final del atacante es entregar el troyano bancario para robar las credenciales y los datos financieros de la v\u00edctima, junto con \u00e9l, est\u00e1n entregando Horabot y una herramienta de spam separada para propagar la infecci\u00f3n mediante el env\u00edo de correos electr\u00f3nicos de phishing a todas las ID de correo electr\u00f3nico validadas en el buz\u00f3n de la v\u00edctima.\u00a0El atacante est\u00e1 utilizando esta t\u00e9cnica para minimizar las posibilidades de que se rastree su infracci\u00f3n de phishing.<\/p>\n<figure class=\"kg-card kg-image-card\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-b5df49ed-a12d-4560-a830-10473ba1ed65.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-b5df49ed-a12d-4560-a830-10473ba1ed65.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-b5df49ed-a12d-4560-a830-10473ba1ed65.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-b5df49ed-a12d-4560-a830-10473ba1ed65.png 1600w\" alt=\"\" width=\"1600\" height=\"960\" title=\"\"><\/figure>\n<p>Horabot, durante su fase inicial de ejecuci\u00f3n, inicializa la aplicaci\u00f3n Outlook de escritorio de la v\u00edctima cargando el espacio de nombres &#8220;Microsoft.Office.Interop.Outlook&#8221; en la instancia de PowerShell para crear el objeto de la aplicaci\u00f3n Outlook para cargar el espacio de nombres MAPI.\u00a0El script tambi\u00e9n inicializa una matriz para almacenar las direcciones de correo electr\u00f3nico robadas y crea una carpeta llamada &#8220;a160323&#8221; en &#8220;C:\\Users\\Public\\&#8221;.\u00a0como marcador de infecci\u00f3n.<\/p>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-28c0d5d4-3523-4e71-a92f-18288abf2b4f.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-28c0d5d4-3523-4e71-a92f-18288abf2b4f.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-28c0d5d4-3523-4e71-a92f-18288abf2b4f.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-28c0d5d4-3523-4e71-a92f-18288abf2b4f.png 1383w\" alt=\"\" width=\"1383\" height=\"157\" title=\"\"><figcaption>Una funci\u00f3n que inicializa el objeto de aplicaci\u00f3n de Outlook.\u00a0<\/figcaption><\/figure>\n<p>Despu\u00e9s de la inicializaci\u00f3n, el script busca los archivos de datos de Outlook en la carpeta de datos de la aplicaci\u00f3n de Outlook del perfil de la v\u00edctima.\u00a0Carga y accede a la libreta de direcciones y contactos de la v\u00edctima, si existen.\u00a0Enumera todas las carpetas y correos electr\u00f3nicos en el archivo de datos de Outlook de la v\u00edctima y extrae las direcciones de correo electr\u00f3nico de los campos de remitente, destinatarios, CC y CCO de los correos electr\u00f3nicos.\u00a0Durante este proceso, el script verifica los valores del objeto &#8220;AddressEntryUserType&#8221; para determinar si la direcci\u00f3n de correo electr\u00f3nico es uno de los tipos que se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>agente de cambio<\/li>\n<li>organizaci\u00f3n de intercambio<\/li>\n<li>Lista de distribuci\u00f3n de intercambio<\/li>\n<li>Carpeta p\u00fablica de intercambio<\/li>\n<li>Direcci\u00f3n que pertenece al mismo o diferente bosque de intercambio<\/li>\n<li>Direcci\u00f3n que utiliza el Protocolo ligero de acceso a directorios [LDAP]<\/li>\n<li>Direcci\u00f3n que utiliza el Protocolo simple de transferencia de correo [SMTP]<\/li>\n<\/ul>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/Screenshot-2023-05-31-at-5.54.08-PM.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/Screenshot-2023-05-31-at-5.54.08-PM.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/Screenshot-2023-05-31-at-5.54.08-PM.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1600\/2023\/05\/Screenshot-2023-05-31-at-5.54.08-PM.png 1600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w2400\/2023\/05\/Screenshot-2023-05-31-at-5.54.08-PM.png 2400w\" alt=\"\" width=\"2000\" height=\"1131\" title=\"\"><figcaption>Funci\u00f3n que enumera y recopila direcciones de correo electr\u00f3nico.<\/figcaption><\/figure>\n<p>El script tiene una funci\u00f3n de validaci\u00f3n de formato de direcci\u00f3n de correo electr\u00f3nico que compara todas las direcciones de correo electr\u00f3nico extra\u00eddas con una expresi\u00f3n regular.\u00a0Una vez que se validan correctamente, las direcciones se agregan a la matriz de recopilaci\u00f3n de direcciones de correo electr\u00f3nico.<\/p>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-0eee913d-cee2-4d5c-bb35-5142c07e14e4.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-0eee913d-cee2-4d5c-bb35-5142c07e14e4.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-0eee913d-cee2-4d5c-bb35-5142c07e14e4.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-0eee913d-cee2-4d5c-bb35-5142c07e14e4.png 1246w\" alt=\"\" width=\"1246\" height=\"144\" title=\"\"><figcaption>Una funci\u00f3n que valida el formato de la direcci\u00f3n de correo electr\u00f3nico.\u00a0<\/figcaption><\/figure>\n<p>A continuaci\u00f3n, la secuencia de comandos escribe las direcciones de correo electr\u00f3nico extra\u00eddas de la matriz en un archivo llamado &#8220;.Outlook&#8221; creado por la secuencia de comandos en la carpeta de datos de la aplicaci\u00f3n de Microsoft del perfil de usuario m\u00f3vil.<\/p>\n<p>Luego, el script codifica las direcciones de correo electr\u00f3nico en el archivo &#8220;.Outlook&#8221; en un flujo de datos.\u00a0Usando la funci\u00f3n GetRequestStream, el script solicita un flujo de datos del servidor C2 a trav\u00e9s de la URL hxxp[:\/\/]139[.]177[.]193[.]74\/esp\/12\/151222\/au\/tst\/index[ .]php?list y tras la respuesta exitosa, las direcciones de correo electr\u00f3nico codificadas se extraen.<\/p>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-bba228a1-6847-4ac0-a3d2-fe5cc4cdd0e1.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-bba228a1-6847-4ac0-a3d2-fe5cc4cdd0e1.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-bba228a1-6847-4ac0-a3d2-fe5cc4cdd0e1.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-bba228a1-6847-4ac0-a3d2-fe5cc4cdd0e1.png 1502w\" alt=\"\" width=\"1502\" height=\"272\" title=\"\"><figcaption>Una funci\u00f3n que extrae direcciones de correo electr\u00f3nico.<\/figcaption><\/figure>\n<p>Despu\u00e9s de filtrar las direcciones de correo electr\u00f3nico, el script crea una carpeta &#8220;fb&#8221; en la carpeta de usuario p\u00fablica y crea un archivo HTML en ella, llamado &#8220;adjuntos_1503.html&#8221; en nuestro an\u00e1lisis de muestra.\u00a0Luego, el script descarga el contenido de un archivo HTML almacenado en un servidor controlado por el atacante y lo escribe en el archivo HTML colocado en la carpeta &#8220;fb&#8221;.\u00a0El archivo HTML tiene una URL maliciosa incrustada \u201chxxps[:\/\/]facturacionmarzo[.]cloud\/e\/archivos[.]pdf[.]html\u201d en su secci\u00f3n de metadatos.\u00a0A continuaci\u00f3n, el script crea un correo electr\u00f3nico con un asunto y un cuerpo codificados y adjunta el archivo HTML de la carpeta &#8220;fb&#8221;.\u00a0Luego, el correo electr\u00f3nico de phishing se env\u00eda a la lista de direcciones de correo electr\u00f3nico extra\u00eddas una a la vez, eliminando la carpeta &#8220;fb&#8221; para cubrir sus rutas y evitar la detecci\u00f3n.<\/p>\n<figure class=\"kg-card kg-image-card kg-card-hascaption\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-1b8e6a51-4a09-48aa-aa35-f866119db450.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-1b8e6a51-4a09-48aa-aa35-f866119db450.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-1b8e6a51-4a09-48aa-aa35-f866119db450.png 905w\" alt=\"\" width=\"905\" height=\"585\" title=\"\"><figcaption>Una funci\u00f3n que env\u00eda correos electr\u00f3nicos de phishing.<\/figcaption><\/figure>\n<h1 id=\"coverage\">Cobertura<\/h1>\n<figure class=\"kg-card kg-image-card\"><img loading=\"lazy\" decoding=\"async\" class=\"kg-image\" src=\"https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-8d16e8fe-c889-4498-877f-10ea738a0647.png\" sizes=\"auto, (min-width: 720px) 720px\" srcset=\"https:\/\/blog.talosintelligence.com\/content\/images\/size\/w600\/2023\/05\/data-src-image-8d16e8fe-c889-4498-877f-10ea738a0647.png 600w, https:\/\/blog.talosintelligence.com\/content\/images\/size\/w1000\/2023\/05\/data-src-image-8d16e8fe-c889-4498-877f-10ea738a0647.png 1000w, https:\/\/blog.talosintelligence.com\/content\/images\/2023\/05\/data-src-image-8d16e8fe-c889-4498-877f-10ea738a0647.png 1600w\" alt=\"\" width=\"1600\" height=\"323\" title=\"\"><\/figure>\n<p><a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/amp-for-endpoints\/index.html\" target=\"_blank\" rel=\"noopener\">Cisco Secure Endpoint<\/a>\u00a0(anteriormente AMP para Endpoints) es ideal para evitar la ejecuci\u00f3n del malware que se detalla en esta publicaci\u00f3n.\u00a0Pruebe Secure Endpoint gratis\u00a0<a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/amp-for-endpoints\/free-trial.html?utm_medium=web-referral?utm_source=cisco&amp;utm_campaign=amp-free-trial&amp;utm_term=pgm-talos-trial&amp;utm_content=amp-free-trial\" target=\"_blank\" rel=\"noopener\">aqu\u00ed.<\/a><\/p>\n<p><a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/web-security-appliance\/index.html\" target=\"_blank\" rel=\"noopener\">El an\u00e1lisis web de Cisco Secure Web Appliance<\/a>\u00a0evita el acceso a sitios web maliciosos y detecta el malware utilizado en estos ataques.<\/p>\n<p><a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/email-security\/index.html\" target=\"_blank\" rel=\"noopener\">Cisco Secure Email<\/a>\u00a0(anteriormente Cisco Email Security) puede bloquear correos electr\u00f3nicos maliciosos enviados por actores de amenazas como parte de su campa\u00f1a.\u00a0Puede probar el correo electr\u00f3nico seguro de forma gratuita\u00a0<a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/cloud-mailbox-defense?utm_medium=web-referral&amp;utm_source=cisco&amp;utm_campaign=cmd-free-trial-request&amp;utm_term=pgm-talos-trial\" target=\"_blank\" rel=\"noopener\">aqu\u00ed<\/a>\u00a0.<\/p>\n<p><a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/firewalls\/index.html\" target=\"_blank\" rel=\"noopener\">Los dispositivos Cisco Secure Firewall<\/a>\u00a0(anteriormente Next-Generation Firewall y Firepower NGFW) como\u00a0<a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/collateral\/security\/firepower-ngfw-virtual\/datasheet-c78-742858.html\" target=\"_blank\" rel=\"noopener\">Threat Defense Virtual<\/a>\u00a0,\u00a0<a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/adaptive-security-appliance-asa-software\/index.html\" target=\"_blank\" rel=\"noopener\">Adaptive Security Appliance<\/a>\u00a0y\u00a0<a href=\"https:\/\/meraki.cisco.com\/products\/appliances\" target=\"_blank\" rel=\"noopener\">Meraki MX<\/a>\u00a0pueden detectar actividades maliciosas asociadas con esta amenaza.<\/p>\n<p><a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/threat-grid\/index.html\" target=\"_blank\" rel=\"noopener\">Cisco Secure Malware Analytics<\/a>\u00a0(Threat Grid) identifica binarios maliciosos y crea protecci\u00f3n en todos los productos Cisco Secure.<\/p>\n<p><a href=\"https:\/\/umbrella.cisco.com\/\" target=\"_blank\" rel=\"noopener\">Umbrella<\/a>\u00a0, la puerta de enlace de Internet segura (SIG) de Cisco, impide que los usuarios se conecten a dominios, IP y URL maliciosos, ya sea que los usuarios est\u00e9n dentro o fuera de la red corporativa.\u00a0Reg\u00edstrese\u00a0<a href=\"https:\/\/signup.umbrella.com\/?utm_medium=web-referral?utm_source=cisco&amp;utm_campaign=umbrella-free-trial&amp;utm_term=pgm-talos-trial&amp;utm_content=automated-free-trial\" target=\"_blank\" rel=\"noopener\">aqu\u00ed<\/a>\u00a0para obtener una prueba gratuita de Umbrella .<\/p>\n<p><a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/web-security-appliance\/index.html\" target=\"_blank\" rel=\"noopener\">Cisco Secure Web Appliance<\/a>\u00a0(anteriormente Web Security Appliance) bloquea autom\u00e1ticamente los sitios potencialmente peligrosos y prueba los sitios sospechosos antes de que los usuarios accedan a ellos.<\/p>\n<p>Las protecciones adicionales con contexto para su entorno espec\u00edfico y los datos de amenazas est\u00e1n disponibles en el\u00a0<a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/firepower-management-center\/index.html\" target=\"_blank\" rel=\"noopener\">Centro de administraci\u00f3n de firewall<\/a>\u00a0.<\/p>\n<p><a href=\"https:\/\/signup.duo.com\/?utm_source=talos&amp;utm_medium=referral&amp;utm_campaign=duo-free-trial\" target=\"_blank\" rel=\"noopener\">Cisco Duo<\/a>\u00a0proporciona autenticaci\u00f3n multifactor para que los usuarios garanticen que solo aquellos autorizados accedan a su red.<\/p>\n<p>Los clientes del conjunto de reglas de suscriptor de c\u00f3digo abierto de Snort pueden mantenerse actualizados descargando el \u00faltimo paquete de reglas disponible para comprar en\u00a0<a href=\"https:\/\/www.snort.org\/products\" target=\"_blank\" rel=\"noopener\">Snort.org<\/a>\u00a0.\u00a0Los SID de Snort para esta amenaza son 61839-61856 para Snort 2 y 300569-300577 para Snort 3.<\/p>\n<p>Las detecciones ClamAV est\u00e1n disponibles para esta amenaza:<\/p>\n<p>Txt.Loader.Horabot-10003071-0<\/p>\n<p>Ps1.Downloader.Horabot-10003078-0<\/p>\n<p>Win.Trojan.DelphiTrojanBanking-10003087-0<\/p>\n<p>Win.Trojan.DelphiTrojanBanking-10003088-0<\/p>\n<p>Txt.Malware.Horabot-10003089-0<\/p>\n<p>Txt.Malware.Horabot-10003090-0<\/p>\n<p>Txt.Malware.Horabot-10003091-0<\/p>\n<p>Win.Tool.HorabotSpamTool-10003092-0<\/p>\n<h1 id=\"iocs\">COI<\/h1>\n<p>Los indicadores de compromiso asociados con esta amenaza se pueden encontrar\u00a0<a href=\"https:\/\/github.com\/Cisco-Talos\/IOCs\/tree\/main\/2023\/05\/new-horabot-targets-americas.txt\" target=\"_blank\" rel=\"noopener\">aqu\u00ed<\/a>\u00a0.<\/p>\n<\/div>\n<\/section>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>Por\u00a0<a href=\"https:\/\/blog.talosintelligence.com\/author\/chetan\/\" target=\"_blank\" rel=\"noopener\">Chetan Raghuprasad<\/a><\/p>\n<p>Lea m\u00e1s sobre Ciberseguridad en;<\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/operacion-triangulacion-001\/\">Operaci\u00f3n Triangulaci\u00f3n: KUMA descubre una campa\u00f1a APT 2023<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/netskope-intelligent-sse-001\/\">Netskope Intelligent SSE + Amazon Security: Amenazas en entornos h\u00edbridos 2023<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/dark-pink-001\/\">Dark Pink vuelve con fuerza: 5 nuevas organizaciones en 3 pa\u00edses<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/check-point-001\/\">Check Point Harmony detecta ataques BEC 3.0<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/ciberseguridad-en-alerta-001\/\">Ciberseguridad en alerta 2023: Revelaci\u00f3n impactante de TI<\/a><\/p>\n<p><span style=\"color: #ffffff;\">Horabot, Horabot, Horabot, Horabot, Horabot, Horabot,\u00a0Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot, Horabot,\u00a0<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cisco Talos ha observado a un actor de amenazas que despliega un programa de botnet previamente no identificado llamado &#8220;Horabot&#8221;. &nbsp; Harbot parece estar apuntando a usuarios de habla hispana en las Am\u00e9ricas y, seg\u00fan nuestro an\u00e1lisis, puede estar ubicado en Brasil. Horabot permite que el actor de amenazas controle el buz\u00f3n de correo de [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":2729,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[2805],"class_list":["post-2728","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-horabot"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/2728","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=2728"}],"version-history":[{"count":2,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/2728\/revisions"}],"predecessor-version":[{"id":2739,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/2728\/revisions\/2739"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/2729"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=2728"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=2728"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=2728"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}