Casbaneiro volta com PDFs dinâmicos e ClickFix para atingir América Latina e Europa
Campanha de phishing usa PDFs dinâmicos, WhatsApp e ClickFix para distribuir Casbaneiro e Horabot na América Latina e Europa, com HTA/VBS, evasão e propagação por contas de e-mail comprometidas.
Uma campanha de phishing bem orquestrada voltou a colocar o trojan bancário Casbaneiro (aka Metamorfo) no radar. O foco são usuários de língua espanhola em organizações da América Latina e Europa, com um combo de PDFs dinâmicos, automação via WhatsApp e a técnica de “ClickFix” para empurrar payloads sem levantar suspeitas — aquele tipo de engenharia social que parece trivial até o primeiro clique.
O que está acontecendo
Os operadores por trás da ofensiva (associados a Augmented Marauder/Water Saci) estão combinando e-mail e mensageria para ampliar alcance. A isca costuma ser um “mandado judicial” em PDF protegido por senha. O documento leva a um link malicioso que baixa um ZIP e inicia a cadeia com scripts HTA/VBS, abrindo caminho para Casbaneiro e Horabot.
Cadeia de infecção (passo a passo)
- Isca: e-mail ou mensagem no WhatsApp fingindo notificação judicial em espanhol.
- PDF dinâmico: arquivo protegido por PIN gerado sob demanda, com link embutido.
- Download: ZIP com HTA/VBS inicia a execução inicial.
- Evasão: checagens ambientais (ex.: presença de antivírus) antes de buscar o payload real.
- Payload final: Casbaneiro como trojan bancário; Horabot como propagador por e-mail.
Por que isso importa
Casbaneiro é especializado em roubo de credenciais bancárias, com foco histórico em bancos latino‑americanos, mas a campanha atual mira também ambientes corporativos. O Horabot funciona como “amplificador”: usa contas comprometidas para enviar novos e-mails de phishing, criando efeito em cadeia dentro de organizações. Resultado: impacto financeiro direto + risco de movimentação lateral em redes corporativas.
Contexto e histórico
Casbaneiro já apareceu em campanhas anteriores usando instaladores falsos e engenharia social pesada. Horabot, por sua vez, é observado desde pelo menos 2020, especialmente em ataques na América Latina. O diferencial agora é a automação de WhatsApp e a geração dinâmica de PDFs, que dificulta bloqueios por hash e reduz a eficácia de filtros estáticos.
Mitigação prática
- Bloqueie HTA/VBS: limite a execução de scripts do Windows via políticas de segurança.
- Proteja o e-mail: use sandboxing e análise de anexos PDF com links externos.
- Monitore PowerShell: alertas para execução incomum e download de payloads.
- Eduque usuários: intimações judiciais via PDF protegido por senha são um clássico do phishing.
- MFA + revisão de contas: dificulta o uso de caixas comprometidas como vetor de spam interno.
Fonte: The Hacker News
