### Uma Cadeia de Ataque Complexa O grupo **Augmented Marauder e Water Saci**, documentado pela primeira vez pela **Trend Micro** em outubro de 2025, está empregando uma abordagem multifacetada para distribuir trojans bancários como **Casbaneiro** (também conhecido como Metamorfo) e **Horabot**. Isso inclui phishing centrado em e-mail, automação do WhatsApp e técnicas **ClickFix**. "Este grupo de ameaças emprega um modelo de ataque mais abrangente focado em um mecanismo personalizado de entrega e propagação que inclui WhatsApp, técnicas ClickFix e phishing centrado em e-mail", afirmaram os pesquisadores de segurança da **BlueVoyant**, Thomas Elkins e Joshua Green, em seu relatório. ### Iscas de Phishing e Payloads Maliciosos O ataque começa com e-mails de phishing disfarçados de intimações judiciais, levando os destinatários a abrir anexos PDF protegidos por senha. Clicar no link incorporado leva a um download malicioso de um arquivo ZIP contendo payloads HTA (HTML Application) e VBS. O script VBS realiza verificações de ambiente e anti-análise, incluindo buscas pelo antivírus **Avast**, antes de recuperar payloads adicionais de um servidor remoto. Esses payloads incluem loaders baseados em AutoIt que extraem e executam arquivos criptografados, implantando finalmente **Casbaneiro** e **Horabot**. ### Casbaneiro e Horabot: Uma Dupla Perigosa **Casbaneiro** serve como o payload principal, enquanto **Horabot** atua como o mecanismo de propagação. O módulo DLL Delphi do **Casbaneiro** se comunica com um servidor de comando e controle (C2) para obter um script PowerShell. Este script utiliza **Horabot** para distribuir malware via e-mails de phishing para contatos coletados do **Microsoft Outlook**. Em vez de usar arquivos estáticos, o script inicia uma requisição HTTP POST para uma API PHP remota para criar dinamicamente um PDF personalizado e protegido por senha, que se passa por uma intimação judicial espanhola, que é então enviada aos contatos de e-mail do host infectado. ### Sequestro de Conta e Spam Uma DLL secundária relacionada ao **Horabot** funciona como uma ferramenta de spam e sequestro de conta, visando contas **Yahoo**, **Live** e **Gmail** para enviar e-mails de phishing através do **Outlook**. **Horabot** tem estado ativo em ataques visando a América Latina desde pelo menos novembro de 2020. ### Táticas em Evolução **Water Saci** já utilizou o WhatsApp Web para espalhar trojans bancários como Maverick e **Casbaneiro**. Campanhas mais recentes incorporaram a tática de engenharia social **ClickFix** para enganar usuários a executar arquivos HTA maliciosos, implantando finalmente **Casbaneiro** e **Horabot**. "Juntas, a integração da engenharia social ClickFix, juntamente com a geração dinâmica de PDF e a automação do WhatsApp, demonstram um adversário ágil que está continuamente inovando e executando diversos caminhos de ataque para contornar os controles de segurança modernos", concluíram os pesquisadores da **BlueVoyant**. "Este adversário está mantendo uma infraestrutura de ataque bifurcada e multifacetada, implantando dinamicamente a cadeia Maverick centrada no WhatsApp e utilizando simultaneamente os caminhos de ataque Horabot baseados em ClickFix e e-mail."