Blog Cisco Brasil

Nova campanha, Horabot, avança sobre o continente latino-americano

2 min read



Não é de hoje que escutamos falar sobre campanhas direcionadas a empresas, governos e, até mesmo, indivíduos. Estas ameaças são parte do cotidiano dos profissionais de segurança cibernético e, atualmente, dos executivos e diretores das corporações.

“Nada de novo, certo?” – mais ou menos…

No início de Junho deste ano (2023), a TALOS reportou uma nova campanha, denominada Horabot, tendo como alvo os países latino-americanos – predominantemente México, mas com avanço também no Uruguai, Brasil, Venezuela, Guatemala e Panamá.

Os criminosos cibernéticos parecem estar mirando usuários que falam Espanhol, o que pode parecer estranho, tendo o Brasil como alvo, porém, baseado nas análises da TALOS, estes criminosos parecem estar localizados no Brasil.

Pode parecer uma paródia, onde a capital do Brasil é Buenos Aires, mas, como muitos sabem, todo Brasileiro é poliglota por nascença: falamos português (pt_Br – com nuances regionais agradáveis aos ouvidos de quem não fala nosso amado idioma), espanhol (nosso querido e amado Portuñol) e inglês (adoramos palavras como: hype, cyber, game, notebook, smartphone, etc.).

Anedotas aparte, a ameaça é real e imediata, utilizando-se de técnicas avançadas de engenharia social e várias etapas com o objetivo de comprometer o sistema e roubar informações confidenciais.

Como sempre a sugestão é manter os sistemas e programas atualizados, utilizar soluções de segurança – preferencialmente em camadas – e não clicar em qualquer link (inglês) ou abrir qualquer arquivo anexado nos e-mails (inglês)… Em resumo, previna-se de phishing (inglês).

 

Eu não disse que amamos palavras em inglês?

 

Abaixo o gráfico que demonstra o avanço da campanha no continente latino-americano.

Como toda boa campanha de phishing, o ataque começa enviando e-mails de phishing contendo arquivos maliciosos anexados. Estes e-mails são projetados cuidadosamente para parecerem legítimos e persuadir os usuários a abrir os arquivos anexados. Uma vez que o arquivo anexado é aberto, ele executa um script do PowerShell que baixa e instala o malware principal no sistema da vítima.

 

O principal malware utiliza uma técnica conhecida como sideloading de DLL para evitar a detecção e executar um código malicioso no sistema. Esta técnica permite que os atacantes escondam sua atividade maliciosa e evitem ser detectados por soluções de segurança integradas na organização.

 

Para se proteger contra a campanha de Horabot e outros ataques semelhantes, é importante seguir as melhores práticas de segurança. Isso inclui:

  • Não abrir arquivos anexados suspeitos ou clica em links em e-mails não solicitados.
  • Manter sistemas e programas sempre atualizados.
  • Utilizar soluções de segurança cibernética confiáveis.
  • Conscientizar os usuários sobre os riscos da engenharia social.

 

Abaixo segue o link para importar os IOCs:

 

Para atualizações sobre a campanha Horabot, por favor, acompanhe o artigo da TALOS:

 

Authors

Nelson Brito

Security Technical Solutions Architect

Cisco Cybersecurity

Deixe seu comentário