Casbaneiro volta com PDFs dinâmicos e ClickFix para atingir América Latina e Europa

Uma campanha de phishing bem orquestrada voltou a colocar o trojan bancário Casbaneiro (aka Metamorfo) no radar. O foco são usuários de língua espanhola em organizações da América Latina e Europa, com um combo de PDFs dinâmicos, automação via WhatsApp e a técnica de “ClickFix” para empurrar payloads sem levantar suspeitas — aquele tipo de engenharia social que parece trivial até o primeiro clique.

O que está acontecendo

Os operadores por trás da ofensiva (associados a Augmented Marauder/Water Saci) estão combinando e-mail e mensageria para ampliar alcance. A isca costuma ser um “mandado judicial” em PDF protegido por senha. O documento leva a um link malicioso que baixa um ZIP e inicia a cadeia com scripts HTA/VBS, abrindo caminho para Casbaneiro e Horabot.

Cadeia de infecção (passo a passo)

• Isca: e-mail ou mensagem no WhatsApp fingindo notificação judicial em espanhol.
• PDF dinâmico: arquivo protegido por PIN gerado sob demanda, com link embutido.
• Download: ZIP com HTA/VBS inicia a execução inicial.
• Evasão: checagens ambientais (ex.: presença de antivírus) antes de buscar o payload real.
• Payload final: Casbaneiro como trojan bancário; Horabot como propagador por e-mail.

Por que isso importa

Casbaneiro é especializado em roubo de credenciais bancárias, com foco histórico em bancos latino‑americanos, mas a campanha atual mira também ambientes corporativos. O Horabot funciona como “amplificador”: usa contas comprometidas para enviar novos e-mails de phishing, criando efeito em cadeia dentro de organizações. Resultado: impacto financeiro direto + risco de movimentação lateral em redes corporativas.

Contexto e histórico

Casbaneiro já apareceu em campanhas anteriores usando instaladores falsos e engenharia social pesada. Horabot, por sua vez, é observado desde pelo menos 2020, especialmente em ataques na América Latina. O diferencial agora é a automação de WhatsApp e a geração dinâmica de PDFs, que dificulta bloqueios por hash e reduz a eficácia de filtros estáticos.

Mitigação prática

• Bloqueie HTA/VBS: limite a execução de scripts do Windows via políticas de segurança.
• Proteja o e-mail: use sandboxing e análise de anexos PDF com links externos.
• Monitore PowerShell: alertas para execução incomum e download de payloads.
• Eduque usuários: intimações judiciais via PDF protegido por senha são um clássico do phishing.
• MFA + revisão de contas: dificulta o uso de caixas comprometidas como vetor de spam interno.

Fonte: The Hacker News