Categories: AMEAÇAS ATUAIS

Casbaneiro volta com PDFs dinâmicos e ClickFix para atingir América Latina e Europa

Uma campanha de phishing bem orquestrada voltou a colocar o trojan bancário Casbaneiro (aka Metamorfo) no radar. O foco são usuários de língua espanhola em organizações da América Latina e Europa, com um combo de PDFs dinâmicos, automação via WhatsApp e a técnica de “ClickFix” para empurrar payloads sem levantar suspeitas — aquele tipo de engenharia social que parece trivial até o primeiro clique.

O que está acontecendo

Os operadores por trás da ofensiva (associados a Augmented Marauder/Water Saci) estão combinando e-mail e mensageria para ampliar alcance. A isca costuma ser um “mandado judicial” em PDF protegido por senha. O documento leva a um link malicioso que baixa um ZIP e inicia a cadeia com scripts HTA/VBS, abrindo caminho para Casbaneiro e Horabot.

Cadeia de infecção (passo a passo)

  • Isca: e-mail ou mensagem no WhatsApp fingindo notificação judicial em espanhol.
  • PDF dinâmico: arquivo protegido por PIN gerado sob demanda, com link embutido.
  • Download: ZIP com HTA/VBS inicia a execução inicial.
  • Evasão: checagens ambientais (ex.: presença de antivírus) antes de buscar o payload real.
  • Payload final: Casbaneiro como trojan bancário; Horabot como propagador por e-mail.

Por que isso importa

Casbaneiro é especializado em roubo de credenciais bancárias, com foco histórico em bancos latino‑americanos, mas a campanha atual mira também ambientes corporativos. O Horabot funciona como “amplificador”: usa contas comprometidas para enviar novos e-mails de phishing, criando efeito em cadeia dentro de organizações. Resultado: impacto financeiro direto + risco de movimentação lateral em redes corporativas.

Contexto e histórico

Casbaneiro já apareceu em campanhas anteriores usando instaladores falsos e engenharia social pesada. Horabot, por sua vez, é observado desde pelo menos 2020, especialmente em ataques na América Latina. O diferencial agora é a automação de WhatsApp e a geração dinâmica de PDFs, que dificulta bloqueios por hash e reduz a eficácia de filtros estáticos.

Mitigação prática

  • Bloqueie HTA/VBS: limite a execução de scripts do Windows via políticas de segurança.
  • Proteja o e-mail: use sandboxing e análise de anexos PDF com links externos.
  • Monitore PowerShell: alertas para execução incomum e download de payloads.
  • Eduque usuários: intimações judiciais via PDF protegido por senha são um clássico do phishing.
  • MFA + revisão de contas: dificulta o uso de caixas comprometidas como vetor de spam interno.

Fonte: The Hacker News

TheNinja

Recent Posts

ROMA: framework open-source para agentes recursivos multi-agente ganha 1,75x com GEPA+ e vira novo padrão de arquitetura

ROMA da Sentient AGI usa decomposição recursiva com Atomizer/Planner/Executor/Aggregator e supera baselines em SEAL-0, FRAMES…

3 horas ago

Google DeepMind Co-Scientist chega à Nature e ao Gemini for Science: caso C2S-Scale valida hipótese oncológica com Yale

Co-Scientist do DeepMind sai da demo, ganha paper na Nature e abre acesso via Gemini…

3 horas ago

NVIDIA Vera Rubin NVL72 entra em produção total: 10x menos custo por token e 4x menos GPUs para treinar MoE

Vera Rubin NVL72 em produção: 10x menos custo por token e 4x menos GPUs para…

3 horas ago

GPT-5.6 Sol, Terra e Luna abrem ao público hoje: OpenAI ativa GPT-Live e roda Sol na Cerebras a 750 tokens/s

OpenAI libera GPT-5.6 Sol, Terra e Luna nesta 5ª, estreia GPT-Live com voz full-duplex e…

3 horas ago

TERMINAL//NG: a Plugged Ninja lança um cyberdeck SSH para operadores Linux — open source, com IA e parsers ao vivo

Novo projeto MIT combina terminal xterm.js completo, dashboard visual que interpreta a saída dos comandos…

14 horas ago