La empresa de seguridad informática Kaspersky Lab ha identificado una nueva forma de operación del malware Horabot, un paquete que incluye un troyano bancario capaz de robar credenciales, espiar sistemas y controlar dispositivos infectados. Aunque este virus ya se había detectado en América Latina desde 2023, su presencia en México se ha intensificado en los últimos meses.

Horabot engaña a las víctimas mediante archivos adjuntos maliciosos y recientemente se ha observado un método más sofisticado: una CAPTCHA falsa que solicita ejecutar comandos en el sistema. Al hacerlo, se descarga un código JavaScript externo que permite al atacante recopilar información como dirección IP, nombre de usuario y versión del sistema operativo. Además, el malware crea archivos persistentes para mantenerse activo y oculta su comportamiento con múltiples capas de protección.

Una de las funciones más peligrosas de Horabot es la capacidad de mostrar ventanas emergentes falsas que solicitan credenciales bancarias. También extrae direcciones de correo electrónico, limpia la bandeja de salida y utiliza las cuentas comprometidas para enviar nuevos correos de phishing con archivos PDF maliciosos, ampliando así su alcance.

El impacto en México es particularmente grave: de más de 5,300 víctimas detectadas, alrededor de 5,030 se encontraban en territorio nacional, lo que representa el 93% del total. Esto convierte al país en uno de los principales objetivos de los ciberdelincuentes que operan con este malware.

Empresas como Fortinet ya habían advertido desde 2023 que Horabot se dirigía a usuarios de América Latina, incluyendo México, Guatemala, Colombia, Perú, Chile y Argentina. La campaña actual confirma que los atacantes continúan perfeccionando sus métodos y ampliando su alcance regional.