Uma nova campanha de phishing, voltada para usu\u00e1rios da Am\u00e9rica Latina e Europa, est\u00e1 disseminando trojans banc\u00e1rios direcionados ao Windows. Conhecido como Casbaneiro, esse malware se camufla para roubar informa\u00e7\u00f5es financeiras e se espalha atrav\u00e9s de outro malware chamado Horabot.<\/p>\n
A atividade \u00e9 atribu\u00edda a um grupo cibercriminoso brasileiro identificado como Augmented Marauder e Water Saci. Esse coletivo foi documentado pela primeira vez pela Trend Micro em outubro de 2025, quando realizou uma campanha pelo WhatsApp com o mesmo intuito de roubar dados banc\u00e1rios.<\/p>\n
Compreendendo o Casbaneiro e sua opera\u00e7\u00e3o<\/h2>\n
Segundo a empresa de ciberseguran\u00e7a BlueVoyant, esse grupo adota um modelo de ataque abrangente. Eles utilizam m\u00e9todos de entrega personalizados que incluem WhatsApp, t\u00e9cnicas de ClickFix e phishing por e-mail.<\/p>\n
Al\u00e9m disso, parece que esses indiv\u00edduos, baseados no Brasil, est\u00e3o usando automa\u00e7\u00e3o via WhatsApp para atingir consumidores e varejistas na Am\u00e9rica Latina.<\/p>\n
Como o ataque \u00e9 realizado<\/h2>\n
A campanha inicia com um e-mail de phishing voltado para falantes de espanhol que imita intima\u00e7\u00f5es judiciais. A inten\u00e7\u00e3o \u00e9 levar os destinat\u00e1rios a abrir um arquivo PDF protegido por senha. Ap\u00f3s clicarem em um link contido no documento, as v\u00edtimas s\u00e3o direcionadas a um link malicioso.<\/p>\n
Isso resulta na realiza\u00e7\u00e3o autom\u00e1tica do download de um arquivo ZIP, que acolhe c\u00f3digos HTML Application (HTA) e VBS. Essas tecnologias da Microsoft s\u00e3o utilizadas para criar interfaces gr\u00e1ficas e automatizar tarefas no Windows, operando com privil\u00e9gios elevados.<\/p>\n
O script VBS \u00e9 projetado para verificar o ambiente e realizar checagens anti-an\u00e1lise, semelhante ao que se encontra nos artefatos do Horabot. Depois, ele recupera carregamentos de um servidor remoto.<\/p>\n
O papel do Horabot na dissemina\u00e7\u00e3o do malware<\/h2>\n
Entre os arquivos baixados est\u00e3o carregadores baseados em AutoIt, que extraem e executam arquivos de carga \u00fatil criptografados. \u00c9 assim que duas variantes de malware s\u00e3o lan\u00e7adas: o Casbaneiro e o Horabot.<\/p>\n
O Horabot \u00e9 utilizado para propagar o malware, enquanto o Casbaneiro se conecta a um servidor de comando e controle (C2) para acessar um script PowerShell, que permite a automa\u00e7\u00e3o de comandos entre outros recursos.<\/p>\n
Esse servidor, por sua vez, cria PDFs din\u00e2micos e protegidos por senha, que s\u00e3o enviados de volta ao host infectado e usados para enviar e-mails de phishing personalizados para contatos filtrados.<\/p>\n
Estrat\u00e9gias adicionais na campanha<\/h2>\n
O Water Saci \u00e9 conhecido por utilizar o WhatsApp Web como um vetor de distribui\u00e7\u00e3o de trojans banc\u00e1rios. Recentemente, campanhas observadas pela Kaspersky t\u00eam utilizado a engenharia social ClickFix para persuadir usu\u00e1rios a executar arquivos HTA maliciosos, facilitando a implanta\u00e7\u00e3o do Casbaneiro e do Horabot.<\/p>\n
A integra\u00e7\u00e3o dessas t\u00e1ticas, somada \u00e0 automa\u00e7\u00e3o do WhatsApp e \u00e0 gera\u00e7\u00e3o de PDFs din\u00e2micos, mostra um advers\u00e1rio inovador que constantemente ajusta suas estrat\u00e9gias para ultrapassar os controles de seguran\u00e7a modernos. A avalia\u00e7\u00e3o da BlueVoyant sugere que este grupo mant\u00e9m uma infraestrutura de ataque complexa e multifacetada, misturando as cadeias centradas no WhatsApp e estrat\u00e9gias de ataque por e-mail.<\/p>\n
Acompanhe o TecMania para mais informa\u00e7\u00f5es sobre o tema e inscreva-se em nossas plataformas de m\u00eddia para atualiza\u00e7\u00f5es de seguran\u00e7a e tecnologia.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Coletivo rastreado como Water Saci combina engenharia social, automa\u00e7\u00e3o de WhatsApp e sequestro de e-mails para roubar dados financeiros corporativos […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-170","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/170","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=170"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/170\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}