### Eine komplexe Angriffskette Die Gruppe **Augmented Marauder und Water Saci**, die erstmals im Oktober 2025 von **Trend Micro** dokumentiert wurde, setzt einen vielschichtigen Ansatz zur Verbreitung von Banking-Trojanern wie **Casbaneiro** (auch bekannt als Metamorfo) und **Horabot** ein. Dies umfasst E-Mail-zentrisches Phishing, WhatsApp-Automatisierung und **ClickFix**-Techniken. "Diese Bedrohungsgruppe setzt ein breiter angelegtes Angriffsmodell ein, das auf einen maßgeschneiderten Liefer- und Verbreitungsmechanismus konzentriert ist, der WhatsApp, ClickFix-Techniken und E-Mail-zentrisches Phishing umfasst", erklärten die Sicherheitsforscher von **BlueVoyant**, Thomas Elkins und Joshua Green, in ihrem Bericht. ### Phishing-Köder und bösartige Payloads Der Angriff beginnt mit Phishing-E-Mails, die als gerichtliche Vorladungen getarnt sind und die Empfänger dazu verleiten, passwortgeschützte PDF-Anhänge zu öffnen. Das Anklicken des eingebetteten Links führt zu einem bösartigen Download eines ZIP-Archivs, das HTA- (HTML Application) und VBS-Payloads enthält. Das VBS-Skript führt Umgebungs- und Anti-Analyse-Prüfungen durch, einschließlich der Suche nach **Avast**-Antivirus, bevor weitere Payloads von einem Remote-Server abgerufen werden. Diese Payloads umfassen AutoIt-basierte Loader, die verschlüsselte Dateien extrahieren und ausführen, um letztendlich **Casbaneiro** und **Horabot** bereitzustellen. ### Casbaneiro und Horabot: Ein gefährliches Duo **Casbaneiro** dient als primäre Payload, während **Horabot** als Verbreitungsmechanismus fungiert. Das Delphi-DLL-Modul von **Casbaneiro** kommuniziert mit einem Command-and-Control (C2)-Server, um ein PowerShell-Skript zu erhalten. Dieses Skript nutzt **Horabot**, um Malware über Phishing-E-Mails an Kontakte zu verteilen, die aus **Microsoft Outlook** gesammelt wurden. Anstatt statische Dateien zu verwenden, initiiert das Skript eine HTTP POST-Anfrage an eine Remote-PHP-API, um dynamisch eine maßgeschneiderte, passwortgeschützte PDF-Datei zu erstellen, die eine spanische gerichtliche Vorladung imitiert, welche dann an die E-Mail-Kontakte des infizierten Hosts gesendet wird. ### Kontoübernahme und Spam Eine sekundäre **Horabot**-bezogene DLL fungiert als Spam- und Kontoübernahme-Tool und zielt auf **Yahoo**, **Live** und **Gmail**-Konten ab, um Phishing-E-Mails über **Outlook** zu versenden. **Horabot** ist seit mindestens November 2020 bei Angriffen auf Lateinamerika aktiv. ### Sich entwickelnde Taktiken **Water Saci** hat zuvor WhatsApp Web genutzt, um Banking-Trojaner wie Maverick und **Casbaneiro** zu verbreiten. Neuere Kampagnen haben die **ClickFix**-Social-Engineering-Taktik integriert, um Benutzer dazu zu verleiten, bösartige HTA-Dateien auszuführen, was letztendlich zur Bereitstellung von **Casbaneiro** und **Horabot** führt. "Zusammengenommen zeigt die Integration von ClickFix-Social-Engineering neben der dynamischen PDF-Generierung und WhatsApp-Automatisierung einen agilen Angreifer, der ständig innoviert und vielfältige Angriffspfade ausführt, um moderne Sicherheitskontrollen zu umgehen", schlossen die **BlueVoyant**-Forscher. "Dieser Angreifer unterhält eine zweigeteilte, mehrgleisige Angriffsinfrastruktur, die dynamisch die WhatsApp-zentrierte Maverick-Kette einsetzt und gleichzeitig sowohl ClickFix- als auch E-Mail-basierte Horabot-Angriffspfade nutzt."