tendencias Campaña de Malware Jhusteene Ezequiel Salgado Becerra 23 mayo, 2025 0 Comentarios

Nuevo vector de ataque en Latinoamérica: campaña activa del malware Horabot

La campaña activa del malware Horabot representa una amenaza creciente para la ciberseguridad empresarial en Latinoamérica. Este ataque sofisticado, que se propaga a través de correos electrónicos con archivos HTML maliciosos, ha sido identificado por nuestro equipo de Cyber Threat Intelligence y se dirige principalmente a usuarios hispanohablantes. Su nivel de complejidad y su capacidad para comprometer datos sensibles lo convierten en un riesgo estratégico que las organizaciones no deben subestimar.

¿Qué es el malware Horabot y cómo impacta la seguridad de tu empresa?

Detectado inicialmente en noviembre de 2020, el malware Horabot ha evolucionado para convertirse en una herramienta de ciberespionaje y fraude financiero. A través de técnicas de phishing, esta campaña activa del malware Horabot busca comprometer cuentas de correo, distribuir troyanos bancarios y recolectar credenciales confidenciales, incluyendo las de servicios como Gmail, Outlook y Yahoo!.

Mapa de Latinoamérica con países afectados por la campaña activa del malware Horabot — Ilustración 1. Regiones afectadas por el malware Horabot

Regiones afectadas por Horabot: países bajo ataque cibernético

Actualmente, el ataque se ha documentado en países como México, Guatemala, Colombia, Perú, Chile y Argentina. Todo inicia con un correo fraudulento que aparenta contener una factura legítima. El archivo adjunto en realidad descarga automáticamente un script malicioso.

Cadena de infección del malware Horabot: técnicas y herramientas empleadas

Una parte crítica del éxito de la campaña de Horabot reside en su capacidad para engañar al usuario final desde el primer contacto. Todo inicia con un correo electrónico enviado desde un remitente que aparenta ser legítimo. Este mensaje hace referencia a una presunta factura en formato PDF relacionada con supuestos servicios o productos adquiridos.

Correo de Malware — Ilustración 2. Correo phishing

El anzuelo: correos disfrazados y archivos maliciosos

El archivo adjunto, que a simple vista parece un documento PDF, es en realidad un archivo comprimido. Dentro de este se encuentra un archivo HTML ofuscado en Base64, el cual contiene una URL que descarga un payload.

Esta URL dirige a una página web con código JavaScript que, de forma automática, intenta descargar un archivo comprimido titulado ADJUNTOS_23042025.zip. Este archivo contiene un documento de tipo HTA con otra URL, también ofuscada, que ejecuta un script alojado en: hxxps://d1[.]webcorreio[.]pics/LNIJGPNIPPK/WWGDI.

URL maliciosa codificada usada en la campaña de Horabot para descargar archivos infectados — Ilustración 3. URL de descarga

Una vez cargado el script HTA, un servidor remoto inyecta externamente un script VBScript hospedado en hxxps://dl[.]webcorreio[.]pics/g1/. Este script se adjunta a las cabeceras del archivo HTML, estableciendo conexión con el navegador del usuario. El objetivo: verificar el entorno de la víctima y descargar diversos payloads adicionales.

Exfiltración de datos del sistema en la campaña activa del malware Horabot — Ilustración 4. Script para la descarga de diversos archivos maliciosos.

Técnicas de evasión y persistencia de Horabot mediante VBScript

El script VBScript está diseñado para evadir detecciones y mantener un perfil bajo hasta el momento de su ejecución. Emplea rutinas matemáticas que procesan caracteres de dos en dos para reconstruir cadenas ocultas como URLs, comandos de PowerShell y otras instrucciones.

Sus funciones clave incluyen:

Evasión de antivirus: Detecta si existe la carpeta C:\Archivos de programa\Avast Software; si está presente, finaliza su ejecución.
Detección de máquinas virtuales: A través de WMI, analiza el BIOS y modelos del sistema en busca de entornos como VirtualBox, VMware o Hyper-V.
Evasión específica por hostname: Si la máquina se llama “JOHN-PC”, el script termina.
Reconocimiento del entorno: Verifica si existe la carpeta C:\Users\Public\LAPTOP-0QF0NEUP. Si no está, la crea y recoge información del sistema: IP local, nombre del equipo, nombre de usuario y versión de Windows. Esta información se envía a: hxxps://d1[.]webcorreio[.]Fotos/G1/Ctld/salvar.php.

El script también aplica métodos de persistencia como:

Eliminación de archivos .lnk, .cmd, .bat, .exe, .vbs y .tws en %Startup% y %AppData%.
Ejecución de nuevos accesos directos utilizando comandos de PowerShell, a través de herramientas que eluden restricciones de ejecución de scripts.

AutoIt Script y troyano bancario: exfiltración y monitoreo

Como parte del ataque, se ejecuta un script de AutoIt llamado winupdate_version_067.ai, cuya función es encontrar archivos .ia en el mismo directorio, descifrarlos usando una clave codificada, inyectar una DLL maliciosa y ejecutar su punto de entrada.

Esta DLL:

Recopila información como fecha, hora, versión del sistema operativo, nombre de usuario, nombre del equipo y software antivirus instalado.
Envía estos datos al servidor C2 organizados en dos parámetros:
- AT: marca de tiempo, tipo de sistema operativo e identidad del usuario.
- MD: nombre y presencia del antivirus, para perfilar a la víctima.

Posteriormente, el malware busca información en navegadores como Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge y Google Chrome. Toda esta información es exfiltrada hacia servidores remotos controlados por el atacante.

Además del robo de información, la campaña activa del malware Horabot incluye mecanismos de monitoreo y suplantación. El malware puede mostrar ventanas emergentes falsas (overlays) incrustadas directamente en la sección RCData de la DLL maliciosa. Estas ventanas están diseñadas para capturar credenciales sensibles del usuario sin necesidad de interfaces visuales adicionales, lo que facilita una ejecución completamente sigilosa.

Riesgos cibernéticos estratégicos derivados de la campaña de Horabot

Esta amenaza no solo compromete la seguridad operativa, sino también la estabilidad estratégica de organizaciones públicas y privadas. Las técnicas avanzadas de evasión y persistencia empleadas en la campaña activa del malware Horabot requieren de un enfoque de protección más integral, basado en inteligencia continua.

Medidas clave para reforzar la ciberseguridad empresarial

Para mitigar el impacto de ataques como Horabot, Silent4Business recomienda:

Habilitar autenticación multifactor (MFA) en correos y plataformas críticas.
Bloquear archivos HTML, HTA y scripts desconocidos en correos electrónicos.
Aplicar actualizaciones de seguridad en sistemas operativos y navegadores.
Restringir la ejecución de scripts y utilizar soluciones EDR/XDR para monitoreo.
Capacitar al personal en la identificación de correos sospechosos.
Auditar los accesos a cuentas compartidas y eliminar permisos maliciosos.

Fortalece la defensa de tu organización frente al malware Horabot

Desde Silent4Business, monitoreamos amenazas como la campaña activa de Horabot para brindar inteligencia útil y fortalecer las defensas cibernéticas de nuestros clientes. Nuestros servicios están diseñados para ayudarte a anticipar y contener riesgos digitales complejos.

¿Estás listo para enfrentar amenazas como Horabot? Conoce más sobre nuestras soluciones en ciberseguridad

Silent4Business puede fortalecer tu estrategia de ciberseguridad. Visita nuestro sitio para descubrir herramientas y asesoría para proteger los activos más valiosos de tu organización 👉 www.silent4business.com

Autor

Jhusteene Ezequiel Salgado Becerra

Ingeniero en computación, desempeñándose como analista de Ciberinteligencia. Ha colaborado en la agrupación de ciberseguridad Pumahat de la Facultad de Ingeniería de la UNAM y actualmente forma parte del equipo de CTI en Silent4Business. Su trabajo se centra en el hunting y el análisis de vulnerabilidades, la investigación de campañas de malware y la detección de tendencias en ciberamenazas, contribuyendo con reportes técnicos y estratégicos que fortalecen la seguridad de las organizaciones.