Não é de hoje que escutamos falar sobre campanhas direcionadas a empresas, governos e, até mesmo, indivíduos. Estas ameaças são parte do cotidiano dos profissionais de segurança cibernético e, atualmente, dos executivos e diretores das corporações.
“Nada de novo, certo?” – mais ou menos…
No início de Junho deste ano (2023), a TALOS reportou uma nova campanha, denominada Horabot, tendo como alvo os países latino-americanos – predominantemente México, mas com avanço também no Uruguai, Brasil, Venezuela, Guatemala e Panamá.
Os criminosos cibernéticos parecem estar mirando usuários que falam Espanhol, o que pode parecer estranho, tendo o Brasil como alvo, porém, baseado nas análises da TALOS, estes criminosos parecem estar localizados no Brasil.
Pode parecer uma paródia, onde a capital do Brasil é Buenos Aires, mas, como muitos sabem, todo Brasileiro é poliglota por nascença: falamos português (pt_Br – com nuances regionais agradáveis aos ouvidos de quem não fala nosso amado idioma), espanhol (nosso querido e amado Portuñol) e inglês (adoramos palavras como: hype, cyber, game, notebook, smartphone, etc.).
Anedotas aparte, a ameaça é real e imediata, utilizando-se de técnicas avançadas de engenharia social e várias etapas com o objetivo de comprometer o sistema e roubar informações confidenciais.
Como sempre a sugestão é manter os sistemas e programas atualizados, utilizar soluções de segurança – preferencialmente em camadas – e não clicar em qualquer link (inglês) ou abrir qualquer arquivo anexado nos e-mails (inglês)… Em resumo, previna-se de phishing (inglês).
Eu não disse que amamos palavras em inglês?
Abaixo o gráfico que demonstra o avanço da campanha no continente latino-americano.
Como toda boa campanha de phishing, o ataque começa enviando e-mails de phishing contendo arquivos maliciosos anexados. Estes e-mails são projetados cuidadosamente para parecerem legítimos e persuadir os usuários a abrir os arquivos anexados. Uma vez que o arquivo anexado é aberto, ele executa um script do PowerShell que baixa e instala o malware principal no sistema da vítima.
O principal malware utiliza uma técnica conhecida como sideloading de DLL para evitar a detecção e executar um código malicioso no sistema. Esta técnica permite que os atacantes escondam sua atividade maliciosa e evitem ser detectados por soluções de segurança integradas na organização.
Para se proteger contra a campanha de Horabot e outros ataques semelhantes, é importante seguir as melhores práticas de segurança. Isso inclui:
- Não abrir arquivos anexados suspeitos ou clica em links em e-mails não solicitados.
- Manter sistemas e programas sempre atualizados.
- Utilizar soluções de segurança cibernética confiáveis.
- Conscientizar os usuários sobre os riscos da engenharia social.
Abaixo segue o link para importar os IOCs:
Para atualizações sobre a campanha Horabot, por favor, acompanhe o artigo da TALOS: