Los investigadores de ciberseguridad han descubierto una nueva campa\u00f1a de phishing que se est\u00e1 utilizando para distribuir malware llamada Horabot<\/strong> Se dirige a los usuarios de Windows en pa\u00edses latinoamericanos como M\u00e9xico, Guatemala, Colombia, Per\u00fa, Chile y Argentina.<\/p>\n La campa\u00f1a es “utilizar correos electr\u00f3nicos dise\u00f1ados que se hacen pasar por facturas o documentos financieros para enga\u00f1ar a las v\u00edctimas para que abran archivos adjuntos maliciosos y pueden robar credenciales de correo electr\u00f3nico, recolectar listas de contactos e instalar troyanos bancarios”, la investigadora de Fortinet Fortiguard Labs Cara Lin dicho<\/a>.<\/p>\n La actividad, observada por la compa\u00f1\u00eda de seguridad de la red en abril de 2025, ha se\u00f1alado principalmente a usuarios de habla hispana. Tambi\u00e9n se ha encontrado que los ataques env\u00edan mensajes de phishing de los buzones de los v\u00edctimas utilizando la automatizaci\u00f3n de Outlook, propagando efectivamente el malware lateralmente dentro de las redes corporativas o personales.<\/p>\n Adem\u00e1s, los actores de amenaza detr\u00e1s de la campa\u00f1a ejecutan varios scripts de VBScript, Autoit y PowerShell para llevar a cabo el reconocimiento del sistema, robar credenciales y eliminar cargas \u00fatiles adicionales.<\/p>\n Horabot fue documentado por primera vez por Cisco Talos en junio de 2023 como usuarios de habla hispana en Am\u00e9rica Latina desde al menos noviembre de 2020. Se eval\u00faa que los ataques son obra de un actor de amenaza de Brasil.<\/p>\n Luego, el a\u00f1o pasado, Trustwave SpiderLabs revel\u00f3 detalles de otra campa\u00f1a de phishing dirigida a la misma regi\u00f3n con cargas \u00fatiles maliciosas que dijo que exhibe similitudes con la del malware Horabot.<\/p>\n El \u00faltimo conjunto de ataques comienza con un correo electr\u00f3nico de phishing que emplea se\u00f1uelos con temas de facturas para atraer a los usuarios a abrir un archivo zip que contiene un documento PDF. Sin embargo, en realidad, el archivo ZIP adjunto contiene un archivo HTML malicioso con datos HTML codificados por Base64 que est\u00e1n dise\u00f1ados para llegar a un servidor remoto y descargar la carga \u00fatil de la siguiente etapa.<\/p>\n La carga \u00fatil es otro archivo zip que contiene un archivo de aplicaci\u00f3n HTML (HTA), que es responsable de cargar un script alojado en un servidor remoto. Luego, el script inyecta un script de Visual Basic externo (VBScript) que realiza una serie de verificaciones que hacen que termine si Avast Antivirus est\u00e1 instalado o se ejecuta en un entorno virtual.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Horabot-Malware-se-dirige-a-6-naciones-latinoamericanas-que-utilizan.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n