### 複雑な攻撃チェーン **Trend Micro**が2025年10月に初めて文書化した**Augmented MarauderおよびWater Saci**グループは、**Casbaneiro**（別名Metamorfo）や**Horabot**のようなバンキングトロイの木馬を配布するために、多角的なアプローチを採用しています。これには、メール中心のフィッシング、WhatsApp自動化、**ClickFix**技術が含まれます。 「この脅威グループは、WhatsApp、ClickFix技術、メール中心のフィッシングを含む、カスタム化された配信および拡散メカニズムに焦点を当てた、より広範囲な攻撃モデルを採用しています」と、**BlueVoyant**のセキュリティ研究者であるThomas Elkins氏とJoshua Green氏は報告書で述べています。 ### フィッシングの誘いと悪意のあるペイロード 攻撃は、裁判所の召喚状を装ったフィッシングメールから始まり、受信者にパスワードで保護されたPDF添付ファイルを開くように促します。埋め込まれたリンクをクリックすると、HTML Application（HTA）およびVBSペイロードを含むZIPアーカイブの悪意のあるダウンロードに誘導されます。 VBSスクリプトは、**Avast**アンチウイルスを検索するなど、環境およびアンチ分析チェックを実行してから、リモートサーバーからさらなるペイロードを取得します。これらのペイロードには、暗号化されたファイルを展開および実行し、最終的に**Casbaneiro**と**Horabot**をデプロイするAutoItベースのローダーが含まれます。 ### CasbaneiroとHorabot：危険なデュオ **Casbaneiro**は主要なペイロードとして機能し、**Horabot**は拡散メカニズムとして機能します。**Casbaneiro**のDelphi DLLモジュールは、コマンドアンドコントロール（C2）サーバーと通信してPowerShellスクリプトを取得します。このスクリプトは**Horabot**を利用して、**Microsoft Outlook**から収集した連絡先にフィッシングメールを介してマルウェアを配布します。 静的ファイルを使用する代わりに、スクリプトはHTTP POSTリクエストをリモートPHP APIに送信して、スペインの司法召喚状を偽装したカスタム化されたパスワード保護PDFを動的に作成し、それを感染ホストのメール連絡先に送信します。 ### アカウント乗っ取りとスパム 二次的な**Horabot**関連DLLは、スパムおよびアカウント乗っ取りツールとして機能し、**Yahoo**、**Live**、**Gmail**アカウントを標的として**Outlook**を介してフィッシングメールを送信します。**Horabot**は、少なくとも2020年11月以降、ラテンアメリカを標的とした攻撃で活動しています。 ### 進化する戦術 **Water Saci**は以前、WhatsApp Webを使用してMaverickや**Casbaneiro**のようなバンキングトロイの木馬を拡散していました。より最近のキャンペーンでは、**ClickFix**ソーシャルエンジニアリング戦術が組み込まれ、ユーザーを騙して悪意のあるHTAファイルを実行させ、最終的に**Casbaneiro**と**Horabot**をデプロイしています。 「全体として、ClickFixソーシャルエンジニアリングと動的なPDF生成およびWhatsApp自動化の統合は、現代のセキュリティ制御を回避するために、常に革新し、多様な攻撃経路を実行する俊敏な敵対者を示しています」と、**BlueVoyant**の研究者は結論付けています。 「この敵対者は、二極化された多角的な攻撃インフラストラクチャを維持しており、WhatsApp中心のMaverickチェーンを動的に展開すると同時に、ClickFixとメールベースのHorabot攻撃経路の両方を利用しています。」