Una campaña de phishing de múltiples frentes está dirigida a usuarios de acento hispana en organizaciones de América Latina y Europa para entregar troyanos bancarios de Windows como Casbaneiro (incluso conocido como Metamorfo) a través de otro malware llamado Horabot.
La actividad se ha atribuido a un actor brasileño de amenazas de delitos cibernéticos rastreado como Augmented Marauder y Water Saci. Trend Micro documentó por primera vez al reunión de delitos electrónicos en octubre de 2025.
“Este reunión de amenazas emplea un maniquí de ataque de longevo trascendencia centrado en un mecanismo de entrega y propagación personalizado que incluye WhatsApp, técnicas ClickFix y phishing centrado en el correo electrónico”, dijeron los investigadores de seguridad de BlueVoyant, Thomas Elkins y Joshua Green, en un desglose técnico publicado el martes.
“Ahora es evidente que, si admisiblemente estos operadores con sede en Brasil aprovechan en gran medida la automatización de WhatsApp basada en scripts para comprometer a los usuarios minoristas y consumidores en América Latina, al mismo tiempo mantienen e implementan un motor reformista de secuestro de correo electrónico para penetrar los perímetros empresariales allí y incluso en Europa”.
El punto de partida de la campaña es un correo electrónico de phishing que emplea mensajes con temas de citaciones judiciales para engañar a los destinatarios para que abran un archivo PDF adjunto protegido con contraseña. Al hacer clic en un enlace incrustado en el documento, la víctima dirige a un enlace solapado e inicia una descarga cibernética de un archivo ZIP, lo que, a su vez, conduce a la ejecución de la aplicación HTML provisional (HTA) y cargas aperos VBS.
El script VBS está diseñado para aceptar a angla comprobaciones ambientales y antianálisis similares a las que se encuentran en los artefactos de Horabot, incluidas comprobaciones del software antivirus Avast, y procede a recuperar las cargas aperos de la subsiguiente etapa desde un servidor remoto. Entre los archivos descargados se encuentran cargadores basados en AutoIt, cada uno de los cuales extrae y ejecuta archivos de carga útil cifrados con extensiones “.ia” o “.at” para eventualmente exhalar dos familias de malware: Casbaneiro (“staticdata.dll”) y Horabot (“at.dll”).
Si admisiblemente Casbaneiro es la carga útil principal, Horabot se utiliza como mecanismo de propagación del malware. El módulo Delphi DLL de Casbaneiro se pone en contacto con un servidor de comando y control (C2) para obtener un script de PowerShell que emplea Horabot para distribuir el malware a través de correos electrónicos de phishing a contactos recopilados de Microsoft Outlook.
“En espacio de distribuir un archivo arrobado o un enlace codificado como se ve en campañas anteriores de Horabot, este script inicia una solicitud HTTP POST a una API PHP remota (hxxps://tt.grupobedfs(.)com/…/gera_pdf.php), pasando un PIN de cuatro dígitos generado aleatoriamente”, dijo BlueVoyant.
“El servidor falsifica dinámicamente un PDF personalizado, protegido con contraseña, que se hace acontecer por una citación sumarial española, que se devuelve al host infectado. Luego, el script recorre la relación de correo electrónico filtrada, utilizando la propia cuenta de correo electrónico del beneficiario comprometido para cursar un correo electrónico de phishing personalizado con el PDF recién generado adjunto”.
Además se utiliza en conjunto una DLL secundaria relacionada con Horabot (“at.dll”) que funciona como una aparejo de spam y secuestro de cuentas dirigida a cuentas de Yahoo, Live y Gmail para cursar correos electrónicos de phishing a través de Outlook. Se estima que Horabot se utilizará en ataques dirigidos a América Latina desde al menos noviembre de 2020.
Water Saci tiene un historial de uso de WhatsApp Web como vector de distribución para difundir troyanos bancarios como Maverick y Casbaneiro en forma de reptil. Sin incautación, las campañas recientes destacadas por Kaspersky han utilizado la táctica de ingeniería social ClickFix para engañar a los usuarios para que ejecuten archivos HTA maliciosos con el objetivo final de implementar Casbaneiro y el esparcidor Horabot.
“En conjunto, la integración de la ingeniería social de ClickFix, adyacente con la engendramiento dinámica de PDF y la automatización de WhatsApp, demuestra un adversario ágil que continuamente innova y ejecuta diversas rutas de ataque para eludir los controles de seguridad modernos”, concluyeron los investigadores.
“Este adversario mantiene una infraestructura de ataque bifurcada y de múltiples frentes, implementando dinámicamente la cautiverio Maverick centrada en WhatsApp y utilizando simultáneamente rutas de ataque ClickFix y Horabot basadas en correo electrónico”.
