Con nuevas capacidades, la botnet maliciosa “Horabot”, amenaza a dependencias de gobierno


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

La botnet Horabot, descubierta por Cisco Talos, la cual está dirigida a usuarios de habla hispana en América Latina y que originalmente estaba dirigida al sector bancario, se encuentra activamente buscando víctimas en el sector gobierno debido a las vulnerabilidades que presentan sus sistemas.

Cabe señalar que la botnet Horabot ha estado activa desde noviembre de 2020 y es responsable de distribuir un troyano bancario y una herramienta de spam en México, Argentina, Brasil, Guatemala, Panamá, Uruguay y Venezuela.

Las capacidades de Horabot, diseñadas en un inicio para funcionar como troyano bancario, han presentado innovaciones por parte de sus desarrolladores, las cuales convierten a Horabot en un malware que puede robar información y datos sensibles. En este sentido, Horabot puede capturar y enviar información confidencial a sus operadores y esto puede incluir nombres de usuario, contraseñas, números de cuentas bancarias, datos de cuentas de servicios, detalles de tarjetas de crédito, códigos de seguridad y cualquier otra información relevante.

Una vez instalado, Horabot puede robar las credenciales de inicio de sesión de las víctimas, información del sistema operativo y pulsaciones de teclas. También puede obtener códigos de seguridad de un solo uso de aplicaciones en línea.

Pero parte de las innovaciones antes mencionadas, presenta una herramienta mejorada de spam que puede comprometer cuentas de correo web como Outlook, permitiendo al atacante controlar los buzones de correo, exfiltrar las direcciones de correo electrónico de los contactos y enviar mensajes de spam, además de recopilar información del sistema y credenciales de usuario, brindando a los atacantes capacidades de acceso remoto y superposición de ventanas falsas para robar datos confidenciales.

Por lo anterior, algunas de las dependencias del gobierno mexicano que presentan debilidades en sus sistemas de correo y, por lo mismo, podrían ser víctimas de Horabot, se encuentran:

1. Gobierno del Estado de Quintana Roo
2. Instituto Quintanarroense de Innovación y Tecnología
3. Secretaría de la Función Pública
4. Gobierno del Estado de Durango
5. Gobierno del Estado de Oaxaca
6. Secretaría de Educación de Veracruz
7. Secretaría de Finanzas y Planeación de Veracruz
8. Secretaria de Finanzas, Inversión y Administración de Guanajuato
9. Secretaría de Educación Pública de Hidalgo
10. Dirección General de Tecnologías de la Información de la Unidad administrativa de la Secretaría de Salud
11. Instituto Mexicano del Petróleo
12. Centro de Investigación y de Estudios Avanzados del IPN (Cinvestav)
13. Servicio Nacional de Sanidad, Inocuidad y Calidad Agroalimentaria (SENASICA)
14. Instituto Nacional para la Educación de los Adultos (INEA)
15. Gobierno del Estado de Nuevo León
16. Secretaría de Educación de Puebla
17. Fiscalía General de Justicia de la Ciudad de México
18. Autoridad Educativa Federal en la Ciudad de México (AEFCM)
19. Gobierno del Estado de Tabasco
20. Fiscalía General del Estado de San Luis Potosí

Ya que una de las vías principales de acceso de Horabot a los sistemas es mediante técnicas de phishing, algunas recomendaciones para poder evitar ser víctima de Horabot son:

- Tener cuidado al hacer clic en enlaces sospechosos o descargar archivos de fuentes no confiables.
- Descargar software de páginas oficiales.
- Actualizar regularmente su sistema operativo, software y programas antivirus para asegurarse de tener los parches de seguridad más recientes.
- Tener cuidado al abrir archivos adjuntos de correo electrónico, especialmente de remitentes desconocidos o sospechosos.
- Capacitar continuamente a su personal en temas de phishing e ingeniería social.

Para más información, visite: https://www.silikn.com/