Expertos de Kaspersky detectaron la operaciĆ³n, que utiliza pĆ”ginas falsas y correos de phishing para iniciar una compleja cadena de infecciĆ³n e instalar troyanos bancarios, con una fuerte concentraciĆ³n de vĆctimas en MĆ©xico.
Expertos de Kaspersky descubrieron una campaƱa dirigida que involucra a Horabot, una amenaza de origen brasileƱo que combina un troyano bancario, un propagador de correos electrĆ³nicos y una cadena de ataque notablemente compleja. Durante la investigaciĆ³n, los analistas identificaron una pĆ”gina web expuesta por el actor de la amenaza que contenĆa una base de datos con registros desde mayo de 2025, en la que se identificaron 5.384 vĆctimas, de las cuales el 93% se encuentran en MĆ©xico.
El engaƱo comienza con una pĆ”gina falsa de verificaciĆ³n (CAPTCHA) que le pide al usuario realizar una acciĆ³n inusual: abrir la ventana āEjecutarā del computador, pegar un comando y ejecutarlo. Cuando la persona sigue estas instrucciones, sin saberlo inicia el proceso de infecciĆ³n. A partir de ese momento se activa una cadena de acciones ocultas en el sistema que permiten que el malware se instale sin que el usuario lo note.
Una vez dentro del dispositivo, el malware recopila informaciĆ³n del equipo y del usuario, como la direcciĆ³n IP, datos del sistema operativo y la ubicaciĆ³n, y envĆa estos datos a servidores controlados por los atacantes. AdemĆ”s, instala un troyano bancario que puede mostrar ventanas emergentes falsas que imitan a las de bancos conocidos, con el objetivo de engaƱar a la vĆctima y hacer que ingrese sus credenciales bancarias.
La amenaza tambiĆ©n intenta propagarse a otras personas. Para ello, extrae direcciones de correo electrĆ³nico desde los equipos infectados y las envĆa a los servidores de los atacantes. Posteriormente, desde cuentas comprometidas se envĆan correos de phishing con archivos PDF maliciosos, que invitan a los destinatarios a abrir un supuesto āarchivo confidencialā o una āfacturaā. Al hacer clic en el documento o en el botĆ³n que contiene, el proceso de infecciĆ³n comienza nuevamente en el nuevo dispositivo.
Ā
Ā
Ā
