### Una Cadena de Ataque Compleja El grupo **Augmented Marauder y Water Saci**, documentado por primera vez por **Trend Micro** en octubre de 2025, está empleando un enfoque multifacético para distribuir troyanos bancarios como **Casbaneiro** (también conocido como Metamorfo) y **Horabot**. Esto incluye phishing centrado en el correo electrónico, automatización de WhatsApp y técnicas **ClickFix**. "Este grupo de amenazas emplea un modelo de ataque de mayor alcance enfocado en un mecanismo de entrega y propagación a medida que incluye WhatsApp, técnicas ClickFix y phishing centrado en el correo electrónico", declararon los investigadores de seguridad de **BlueVoyant**, Thomas Elkins y Joshua Green, en su informe. ### Señuelos de Phishing y Cargas Maliciosas El ataque comienza con correos electrónicos de phishing disfrazados de citaciones judiciales, que incitan a los destinatarios a abrir archivos adjuntos PDF protegidos con contraseña. Hacer clic en el enlace incrustado conduce a una descarga maliciosa de un archivo ZIP que contiene cargas útiles de Aplicación HTML (HTA) y VBS. El script VBS realiza comprobaciones de entorno y anti-análisis, incluyendo búsquedas del antivirus **Avast**, antes de recuperar más cargas útiles de un servidor remoto. Estas cargas útiles incluyen cargadores basados en AutoIt que extraen y ejecutan archivos cifrados, desplegando finalmente **Casbaneiro** y **Horabot**. ### Casbaneiro y Horabot: Un Dúo Peligroso **Casbaneiro** sirve como la carga útil principal, mientras que **Horabot** actúa como el mecanismo de propagación. El módulo DLL de Delphi de **Casbaneiro** se comunica con un servidor de comando y control (C2) para obtener un script de PowerShell. Este script utiliza **Horabot** para distribuir malware a través de correos electrónicos de phishing a contactos cosechados de **Microsoft Outlook**. En lugar de usar archivos estáticos, el script inicia una solicitud HTTP POST a una API PHP remota para crear dinámicamente un PDF personalizado y protegido con contraseña que imita una citación judicial española, el cual luego se envía a los contactos de correo electrónico del host infectado. ### Secuestro de Cuentas y Spam Una DLL secundaria relacionada con **Horabot** funciona como una herramienta de spam y secuestro de cuentas, atacando cuentas de **Yahoo**, **Live** y **Gmail** para enviar correos electrónicos de phishing a través de **Outlook**. **Horabot** ha estado activo en ataques dirigidos a América Latina desde al menos noviembre de 2020. ### Tácticas en Evolución **Water Saci** ha utilizado previamente WhatsApp Web para propagar troyanos bancarios como Maverick y **Casbaneiro**. Campañas más recientes han incorporado la táctica de ingeniería social **ClickFix** para engañar a los usuarios para que ejecuten archivos HTA maliciosos, desplegando finalmente **Casbaneiro** y **Horabot**. "En conjunto, la integración de la ingeniería social ClickFix, junto con la generación dinámica de PDF y la automatización de WhatsApp, demuestra un adversario ágil que está innovando continuamente y ejecutando diversos caminos de ataque para eludir los controles de seguridad modernos", concluyeron los investigadores de **BlueVoyant**. "Este adversario está manteniendo una infraestructura de ataque bifurcada y multifacética, desplegando dinámicamente la cadena Maverick centrada en WhatsApp y utilizando simultáneamente los caminos de ataque Horabot basados en ClickFix y correo electrónico."