Uma campanha de phishing sofisticada está em curso, com um vírus de origem brasileira, conhecido como Casbaneiro ou Metamortmo, mirando usuários e instituições financeiras na América Latina e Europa. Este trojan bancário, projetado para furtar dados confidenciais, utiliza outro malware, o Horabot, como veículo de propagação, ampliando o risco para milhares.
A autoria desta ação é atribuída a um grupo cibercriminoso brasileiro rastreado como Augmented Marauder e Water Saci. A atuação do coletivo foi documentada inicialmente pela Trend Micro em outubro de 2025, com uma campanha anterior focada no WhatsApp e no roubo de informações bancárias.
Estratégia e Alcance do Ataque
Segundo a BlueVoyant, o Casbaneiro emprega um modelo abrangente, com mecanismos personalizados de entrega e propagação que incluem WhatsApp, técnicas ClickFix e, principalmente, phishing por e-mail. Operadores no Brasil usam automação via scripts de WhatsApp para comprometer varejistas na América Latina. Simultaneamente, mantêm um sistema avançado de sequestro de e-mails para furtar dados corporativos na América Latina e Europa.
Como a Infecção Acontece
O processo de infecção geralmente começa com um e-mail de phishing em espanhol, disfarçado de intimação judicial. O objetivo é induzir o destinatário a abrir um anexo em PDF, protegido por senha, que supostamente contém informações processuais. Ao clicar em um link malicioso, a vítima desencadeia o download automático de um arquivo ZIP.
Este arquivo executa cargas de HTML Application (HTA) e VBS, tecnologias da Microsoft que operam com privilégios elevados, acessando quase todos os recursos do sistema. Um script VBS realiza verificações anti-detecção, como para o Avast, antes de baixar os próximos componentes do ataque de um servidor remoto.
O Papel do Horabot na Propagação
Entre os arquivos baixados, carregadores extraem e executam arquivos criptografados, lançando o Casbaneiro (carga principal) e o Horabot (mecanismo de propagação). O Casbaneiro se conecta a um servidor de comando e controle para buscar um script PowerShell.
Este script utiliza o Horabot para distribuir o malware, enviando e-mails de phishing para contatos coletados do Microsoft Outlook da própria vítima. A BlueVoyant descreve que um PDF personalizado, simulando intimação judicial, é gerado e reenviado da conta comprometida para novos alvos. Uma DLL secundária do Horabot ainda atua como ferramenta de spam e sequestro de contas, visando Yahoo, Live e Gmail para enviar e-mails de phishing via Outlook.
A complexidade e o alcance da operação demonstram a sofisticação das ameaças cibernéticas. Usuários e empresas devem redobrar a atenção a e-mails suspeitos e manter sistemas de segurança atualizados para evitar se tornarem as próximas vítimas. Mantenha-se informado com o Altos News.
Fonte: https://www.tecmundo.com.br
