Coletivo rastreado como Water Saci combina engenharia social, automação de WhatsApp e sequestro de e-mails para roubar dados financeiros corporativos e de consumidores
Uma nova campanha de phishing, voltada para usuários da América Latina e Europa, está disseminando trojans bancários direcionados ao Windows. Conhecido como Casbaneiro, esse malware se camufla para roubar informações financeiras e se espalha através de outro malware chamado Horabot.
A atividade é atribuída a um grupo cibercriminoso brasileiro identificado como Augmented Marauder e Water Saci. Esse coletivo foi documentado pela primeira vez pela Trend Micro em outubro de 2025, quando realizou uma campanha pelo WhatsApp com o mesmo intuito de roubar dados bancários.
Compreendendo o Casbaneiro e sua operação
Segundo a empresa de cibersegurança BlueVoyant, esse grupo adota um modelo de ataque abrangente. Eles utilizam métodos de entrega personalizados que incluem WhatsApp, técnicas de ClickFix e phishing por e-mail.
Além disso, parece que esses indivíduos, baseados no Brasil, estão usando automação via WhatsApp para atingir consumidores e varejistas na América Latina.
Como o ataque é realizado
A campanha inicia com um e-mail de phishing voltado para falantes de espanhol que imita intimações judiciais. A intenção é levar os destinatários a abrir um arquivo PDF protegido por senha. Após clicarem em um link contido no documento, as vítimas são direcionadas a um link malicioso.
Isso resulta na realização automática do download de um arquivo ZIP, que acolhe códigos HTML Application (HTA) e VBS. Essas tecnologias da Microsoft são utilizadas para criar interfaces gráficas e automatizar tarefas no Windows, operando com privilégios elevados.
O script VBS é projetado para verificar o ambiente e realizar checagens anti-análise, semelhante ao que se encontra nos artefatos do Horabot. Depois, ele recupera carregamentos de um servidor remoto.
O papel do Horabot na disseminação do malware
Entre os arquivos baixados estão carregadores baseados em AutoIt, que extraem e executam arquivos de carga útil criptografados. É assim que duas variantes de malware são lançadas: o Casbaneiro e o Horabot.
O Horabot é utilizado para propagar o malware, enquanto o Casbaneiro se conecta a um servidor de comando e controle (C2) para acessar um script PowerShell, que permite a automação de comandos entre outros recursos.
Esse servidor, por sua vez, cria PDFs dinâmicos e protegidos por senha, que são enviados de volta ao host infectado e usados para enviar e-mails de phishing personalizados para contatos filtrados.
Estratégias adicionais na campanha
O Water Saci é conhecido por utilizar o WhatsApp Web como um vetor de distribuição de trojans bancários. Recentemente, campanhas observadas pela Kaspersky têm utilizado a engenharia social ClickFix para persuadir usuários a executar arquivos HTA maliciosos, facilitando a implantação do Casbaneiro e do Horabot.
A integração dessas táticas, somada à automação do WhatsApp e à geração de PDFs dinâmicos, mostra um adversário inovador que constantemente ajusta suas estratégias para ultrapassar os controles de segurança modernos. A avaliação da BlueVoyant sugere que este grupo mantém uma infraestrutura de ataque complexa e multifacetada, misturando as cadeias centradas no WhatsApp e estratégias de ataque por e-mail.
Acompanhe o TecMania para mais informações sobre o tema e inscreva-se em nossas plataformas de mídia para atualizações de segurança e tecnologia.
