Los investigadores de ciberseguridad han descubierto una nueva campaña de phishing que se está utilizando para distribuir malware llamada Horabot Se dirige a los usuarios de Windows en países latinoamericanos como México, Guatemala, Colombia, Perú, Chile y Argentina.
La campaña es «utilizar correos electrónicos diseñados que se hacen pasar por facturas o documentos financieros para engañar a las víctimas para que abran archivos adjuntos maliciosos y pueden robar credenciales de correo electrónico, recolectar listas de contactos e instalar troyanos bancarios», dijo la investigadora de Fortinet Fortiguard Labs, Cara Lin.
La actividad, observada por la compañía de seguridad de la red en abril de 2025, ha señalado principalmente a usuarios de habla hispana. También se ha encontrado que los ataques envían mensajes de phishing de los buzones de los víctimas utilizando la automatización de Outlook, propagando efectivamente el malware lateralmente dentro de las redes corporativas o personales.
Además, los actores de amenaza detrás de la campaña ejecutan varios scripts de VBScript, Autoit y PowerShell para llevar a cabo el reconocimiento del sistema, robar credenciales y eliminar cargas útiles adicionales.
Horabot fue documentado por primera vez por Cisco Talos en junio de 2023 como usuarios de habla hispana en América Latina desde al menos noviembre de 2020. Se evalúa que los ataques son obra de un actor de amenaza de Brasil.
Luego, el año pasado, Trustwave SpiderLabs reveló detalles de otra campaña de phishing dirigida a la misma región con cargas útiles maliciosas que dijo que exhibe similitudes con la del malware Horabot.
El último conjunto de ataques comienza con un correo electrónico de phishing que emplea señuelos con temas de facturas para atraer a los usuarios a abrir un archivo zip que contiene un documento PDF. Sin embargo, en realidad, el archivo ZIP adjunto contiene un archivo HTML malicioso con datos HTML codificados por Base64 que están diseñados para llegar a un servidor remoto y descargar la carga útil de la siguiente etapa.
La carga útil es otro archivo zip que contiene un archivo de aplicación HTML (HTA), que es responsable de cargar un script alojado en un servidor remoto. Luego, el script inyecta un script de Visual Basic externo (VBScript) que realiza una serie de verificaciones que hacen que termine si Avast Antivirus está instalado o se ejecuta en un entorno virtual.
El VBScript procede a recopilar información básica del sistema, exfiltrarla a un servidor remoto y recupera cargas útiles adicionales, incluida una secuencia de comandos de Autoit que desata el troyano bancario a través de una DLL maliciosa y un script de PowerShell que tiene la tarea de difundir los correos electrónicos de phishing después de construir una lista de direcciones de correo electrónico objetivo mediante datos de contacto de escaneo dentro de Outlowlect.
«El malware luego procede a robar datos relacionados con el navegador de una gama de navegadores web específicos, incluidos Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge y Google Chrome», dijo Lin. «Además del robo de datos, Horabot monitorea el comportamiento de la víctima e inyecta ventanas emergentes falsas diseñadas para capturar credenciales confidenciales de inicio de sesión de los usuarios».