Uma nova campanha de phishing direcionada a usuários da América Latina e Europa está distribuindo trojans bancários para Windows. O principal malware envolvido é o Casbaneiro, também conhecido como Metamortmo, que atua no roubo de dados financeiros e utiliza o Horabot como mecanismo de disseminação.
A operação é atribuída a um grupo cibercriminoso brasileiro identificado como Water Saci, também rastreado como Augmented Marauder. Esse coletivo já havia sido associado a campanhas anteriores, incluindo ataques via WhatsApp com foco em roubo de credenciais bancárias.
Segundo a BlueVoyant, o grupo utiliza uma estratégia de ataque multifacetada, combinando phishing por e-mail, automação via WhatsApp e técnicas de engenharia social como o ClickFix. O objetivo é atingir tanto usuários comuns quanto ambientes corporativos, explorando diferentes vetores de entrada.
O ataque começa com um e-mail falso, geralmente em espanhol, que simula uma intimação judicial. A mensagem contém um PDF protegido por senha que, ao ser aberto, leva a vítima a clicar em um link malicioso. Esse link inicia o download de um arquivo ZIP que executa scripts HTA e VBS — tecnologias nativas do Windows com alto nível de permissão no sistema.
Esses scripts realizam verificações no ambiente da máquina, como detecção de antivírus, antes de baixar cargas adicionais de servidores remotos. Entre os arquivos obtidos estão componentes que ativam tanto o Casbaneiro quanto o Horabot. O primeiro atua diretamente no roubo de dados bancários, enquanto o segundo amplia o alcance do ataque.
O Casbaneiro estabelece comunicação com servidores de comando e controle para receber instruções adicionais, incluindo scripts que automatizam novas infecções. Já o Horabot coleta contatos do Microsoft Outlook e envia novos e-mails de phishing usando a conta da própria vítima, aumentando a credibilidade da fraude.
Além disso, o malware gera automaticamente PDFs personalizados que imitam documentos oficiais, reforçando a engenharia social. Em paralelo, o Horabot também pode sequestrar contas de e-mail como Yahoo, Gmail e Live para expandir ainda mais a campanha.
Outro vetor relevante é o uso do WhatsApp Web, explorado para espalhar o malware de forma semelhante a um worm, além da técnica ClickFix, que induz usuários a executar arquivos maliciosos manualmente.
De acordo com análises da Kaspersky, essa combinação de automação, engenharia social e múltiplos canais de distribuição mostra um nível elevado de sofisticação. O grupo mantém uma infraestrutura flexível, capaz de adaptar rapidamente suas estratégias para contornar mecanismos de segurança modernos.
O cenário reforça a importância de atenção redobrada com e-mails suspeitos, arquivos protegidos por senha e links desconhecidos, especialmente quando envolvem mensagens urgentes ou com aparência oficial
