Uma campanha de phishing, focada em usuários da América Latina e Europa, está distribuindo trojans bancários para Windows. Conhecido como Casbaneiro ou Metamortmo, esse malware se disfarça para roubar dados financeiros das vítimas, e ele se espalha por meio de outro malware, o Horabot.
A atividade foi atribuída a um grupo cibercriminoso brasileiro rastreado como Augmented Marauder e Water Saci. O coletivo foi documentado pela primeira vez pela Trend Micro em outubro de 2025, quando conduziu uma campanha focada no WhatsApp, também com o objetivo de roubar informações bancárias.
O que é o Casbaneiro e como ele funciona
De acordo com a empresa de cibersegurança BlueVoyant, o grupo emprega um modelo de ataque mais abrangente. O foco está em mecanismos personalizados de entrega e propagação que inclui o WhatsApp, técnicas do ClickFix e phishing centrado em e-mail.
A companhia também afirma que está evidente que, esses operadores baseados no Brasil usam a automação do WhatsApp baseada em scripts para comprometer usuários de varejo e consumidores na América Latina.
Como o ataque chega até a vítima
Nesta campanha tudo começa com um e-mail de phishing, focado em pessoas que falam espanhol, que utiliza mensagens que imitam intimações judiciais. A ideia é induzir os destinatários a abrir um anexo PDF protegido por senha. Ao clicar em um link incorporado no documento, a vítima é direcionada a um link malicioso.
A partir disso, a vítima inicia o download automático de um arquivo ZIP, o que leva à execução de cargas de HTML Application (HTA) e VBS. Essas cargas são tecnologias da Microsoft usadas para criar interfaces gráficas de usuário (GUI) e automatizar tarefas no Windows.
Elas são interessantes para os criminosos porque operam com privilégios elevados, o que significa que, quando executados, têm acesso quase total aos recursos do sistema do usuário, semelhante a um administrador.
O script VBS foi projetado para realizar verificações de ambiente e anti-análise semelhantes às encontradas nos artefatos do Horabot. O que inclui verificações do software antivírus Avast, e prossegue para recuperar cargas úteis da fase seguinte de um servidor remoto.
O papel do Horabot na propagação do malware
Entre os arquivos baixados estão carregadores baseados em AutoIt, cada um extrai e executa arquivos de carga útil criptografados com extensões “.ia” ou “.at”. Assim é possível lançar duas famílias de malware, o Casbaneiro (“staticdata.dll”) e Horabot (“at.dll”).
O Casbaneiro é a carga principal e o Horabot é usado como mecanismo de propagação do malware. O módulo DLL em Delphi do Casbaneiro entra em contato com um servidor de comando e controle (C2) para buscar um script PowerShell. O script é uma ferramenta de automação composta por sequências de comandos, variáveis e funções, armazenadas em arquivos.
A partir dessa ferramenta é entregue a extensão que emprega o Horabot para distribuir o malware por meio de e-mails de phishing para contatos coletados do Microsoft Outlook.
“O servidor cria dinamicamente um PDF personalizado e protegido por senha, simulando uma intimação judicial espanhola, que é enviado de volta ao host infectado. O script então percorre a lista de e-mails filtrada, utilizando a própria conta de e-mail do usuário comprometido para enviar um e-mail de phishing personalizado com o PDF recém-gerado em anexo”, explica a BlueVoyant.
Também é utilizada em conjunto uma DLL secundária relacionada ao Horabot (“at.dll”), que funciona como uma ferramenta de spam e sequestro de contas, visando contas do Yahoo, Live e Gmail para enviar e-mails de phishing através do Outlook. Estima-se que o Horabot tenha sido utilizado em ataques direcionados à América Latina desde, pelo menos, novembro de 2020.
WhatsApp e ClickFix também são usados na campanha
O Water Saci tem um histórico de uso do WhatsApp Web como vetor de distribuição para disseminar trojans bancários como o Maverick e o Casbaneiro de maneira semelhante a um worm.
No entanto, campanhas recentes destacadas pela Kaspersky têm aproveitado a tática de engenharia social ClickFix para induzir usuários a executar arquivos HTA maliciosos, com o objetivo final de implantar o Casbaneiro e o disseminador Horabot.
“Em conjunto, a integração da engenharia social do ClickFix, aliada à geração dinâmica de PDFs e à automação do WhatsApp, revela um adversário ágil que está continuamente inovando e executando diversas estratégias de ataque para contornar os controles de segurança modernos”, explica a BlueVoyant.
Em última análise, a BlueVoyant avalia que esse adversário mantém uma infraestrutura de ataque bifurcada e multifacetada, implantando dinamicamente a cadeia Maverick centrada no WhatsApp e utilizando simultaneamente as estratégias de ataque do ClickFix e do Horabot, baseado em e-mail.
