### Une chaîne d'attaque complexe Le groupe **Augmented Marauder et Water Saci**, documenté pour la première fois par **Trend Micro** en octobre 2025, emploie une approche multidimensionnelle pour distribuer des chevaux de Troie bancaires tels que **Casbaneiro** (alias Metamorfo) et **Horabot**. Cela inclut le phishing centré sur l'e-mail, l'automatisation WhatsApp et les techniques **ClickFix**. « Ce groupe de menaces emploie un modèle d'attaque plus large axé sur un mécanisme de livraison et de propagation sur mesure qui comprend WhatsApp, les techniques ClickFix et le phishing centré sur l'e-mail », ont déclaré les chercheurs en sécurité de **BlueVoyant**, Thomas Elkins et Joshua Green, dans leur rapport. ### Appâts de phishing et charges utiles malveillantes L'attaque commence par des e-mails de phishing déguisés en convocations judiciaires, incitant les destinataires à ouvrir des pièces jointes PDF protégées par mot de passe. Le clic sur le lien intégré mène au téléchargement malveillant d'une archive ZIP contenant des charges utiles HTA (HTML Application) et VBS. Le script VBS effectue des vérifications d'environnement et d'anti-analyse, y compris des recherches de l'antivirus **Avast**, avant de récupérer d'autres charges utiles à partir d'un serveur distant. Ces charges utiles incluent des chargeurs basés sur AutoIt qui extraient et exécutent des fichiers chiffrés, déployant finalement **Casbaneiro** et **Horabot**. ### Casbaneiro et Horabot : un duo dangereux **Casbaneiro** sert de charge utile principale, tandis que **Horabot** agit comme mécanisme de propagation. Le module DLL Delphi de **Casbaneiro** communique avec un serveur de commande et de contrôle (C2) pour obtenir un script PowerShell. Ce script utilise **Horabot** pour distribuer des logiciels malveillants via des e-mails de phishing à des contacts collectés dans **Microsoft Outlook**. Au lieu d'utiliser des fichiers statiques, le script initie une requête HTTP POST vers une API PHP distante pour créer dynamiquement un PDF personnalisé et protégé par mot de passe, se faisant passer pour une convocation judiciaire espagnole, qui est ensuite envoyé aux contacts e-mail de l'hôte infecté. ### Détournement de compte et spam Une DLL secondaire liée à **Horabot** fonctionne comme un outil de spam et de détournement de compte, ciblant les comptes **Yahoo**, **Live** et **Gmail** pour envoyer des e-mails de phishing via **Outlook**. **Horabot** est actif dans les attaques visant l'Amérique latine depuis au moins novembre 2020. ### Tactiques évolutives **Water Saci** a précédemment utilisé WhatsApp Web pour propager des chevaux de Troie bancaires comme Maverick et **Casbaneiro**. Des campagnes plus récentes ont intégré la tactique d'ingénierie sociale **ClickFix** pour inciter les utilisateurs à exécuter des fichiers HTA malveillants, déployant finalement **Casbaneiro** et **Horabot**. « Pris ensemble, l'intégration de l'ingénierie sociale ClickFix, ainsi que la génération dynamique de PDF et l'automatisation WhatsApp, démontrent un adversaire agile qui innove continuellement et exécute divers chemins d'attaque pour contourner les contrôles de sécurité modernes », ont conclu les chercheurs de **BlueVoyant**. « Cet adversaire maintient une infrastructure d'attaque bifurquée et à plusieurs volets, déployant dynamiquement la chaîne Maverick axée sur WhatsApp et utilisant simultanément les chemins d'attaque Horabot basés sur ClickFix et par e-mail. »