Uma campanha de phishing, focada em usuários da América Latina e Europa, está distribuindo trojans bancários para Windows. Conhecido como Casbaneiro ou Metamortmo, esse malware se disfarça para roubar dados financeiros das vítimas, e ele se espalha por meio de outro malware, o Horabot.

A atividade foi atribuída a um grupo cibercriminoso brasileiro rastreado como Augmented Marauder e Water Saci. O coletivo foi documentado pela primeira vez pela Trend Micro em outubro de 2025, quando conduziu uma campanha focada no WhatsApp, também com o objetivo de roubar informações bancárias.

O que é o Casbaneiro e como ele funciona

De acordo com a empresa de cibersegurança BlueVoyant, o grupo emprega um modelo de ataque mais abrangente. O foco está em mecanismos personalizados de entrega e propagação que inclui o WhatsApp, técnicas do ClickFix e phishing centrado em e-mail.

A companhia também afirma que está evidente que, esses operadores baseados no Brasil usam a automação do WhatsApp baseada em scripts para comprometer usuários de varejo e consumidores na América Latina. 

No entanto, eles mantêm e implantam simultaneamente um mecanismo avançado de sequestro de e-mails. O objetivo é roubar dados corporativos tanto na América Latina quanto na Europa.

Como o ataque chega até a vítima

Nesta campanha tudo começa com um e-mail de phishing, focado em pessoas que falam espanhol, que utiliza mensagens que imitam intimações judiciais. A ideia é induzir os destinatários a abrir um anexo PDF protegido por senha. Ao clicar em um link incorporado no documento, a vítima é direcionada a um link malicioso.

A partir disso, a vítima inicia o download automático de um arquivo ZIP, o que leva à execução de cargas de HTML Application (HTA) e VBS. Essas cargas são tecnologias da Microsoft usadas para criar interfaces gráficas de usuário (GUI) e automatizar tarefas no Windows.

Elas são interessantes para os criminosos porque operam com privilégios elevados, o que significa que, quando executados, têm acesso quase total aos recursos do sistema do usuário, semelhante a um administrador.

O script VBS foi projetado para realizar verificações de ambiente e anti-análise semelhantes às encontradas nos artefatos do Horabot. O que inclui verificações do software antivírus Avast, e prossegue para recuperar cargas úteis da fase seguinte de um servidor remoto.

O papel do Horabot na propagação do malware

Entre os arquivos baixados estão carregadores baseados em AutoIt, cada um extrai e executa arquivos de carga útil criptografados com extensões “.ia” ou “.at”. Assim é possível lançar duas famílias de malware, o Casbaneiro (“staticdata.dll”) e Horabot (“at.dll”).

O Casbaneiro é a carga principal e o Horabot é usado como mecanismo de propagação do malware. O módulo DLL em Delphi do Casbaneiro entra em contato com um servidor de comando e controle (C2) para buscar um script PowerShell. O script é uma ferramenta de automação composta por sequências de comandos, variáveis e funções, armazenadas em arquivos.

A partir dessa ferramenta é entregue a extensão que emprega o Horabot para distribuir o malware por meio de e-mails de phishing para contatos coletados do Microsoft Outlook.

“O servidor cria dinamicamente um PDF personalizado e protegido por senha, simulando uma intimação judicial espanhola, que é enviado de volta ao host infectado. O script então percorre a lista de e-mails filtrada, utilizando a própria conta de e-mail do usuário comprometido para enviar um e-mail de phishing personalizado com o PDF recém-gerado em anexo”, explica a BlueVoyant.

Também é utilizada em conjunto uma DLL secundária relacionada ao Horabot (“at.dll”), que funciona como uma ferramenta de spam e sequestro de contas, visando contas do Yahoo, Live e Gmail para enviar e-mails de phishing através do Outlook. Estima-se que o Horabot tenha sido utilizado em ataques direcionados à América Latina desde, pelo menos, novembro de 2020.

WhatsApp e ClickFix também são usados na campanha

O Water Saci tem um histórico de uso do WhatsApp Web como vetor de distribuição para disseminar trojans bancários como o Maverick e o Casbaneiro de maneira semelhante a um worm. 

No entanto, campanhas recentes destacadas pela Kaspersky têm aproveitado a tática de engenharia social ClickFix para induzir usuários a executar arquivos HTA maliciosos, com o objetivo final de implantar o Casbaneiro e o disseminador Horabot.

“Em conjunto, a integração da engenharia social do ClickFix, aliada à geração dinâmica de PDFs e à automação do WhatsApp, revela um adversário ágil que está continuamente inovando e executando diversas estratégias de ataque para contornar os controles de segurança modernos", explica a BlueVoyant. 

Em última análise, a BlueVoyant avalia que esse adversário mantém uma infraestrutura de ataque bifurcada e multifacetada, implantando dinamicamente a cadeia Maverick centrada no WhatsApp e utilizando simultaneamente as estratégias de ataque do ClickFix e do Horabot, baseado em e-mail. 

Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.