Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreial2naotgipqbmmqtaa3vmvv46iineubjkkqjgiwz3q2f5kxdt7ge",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mihwvf6nutr2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreiazcgqxcyexxiout4sec33klqhjmuvhqxmnwynlcy5b3zcdp5rueu"
    },
    "mimeType": "image/jpeg",
    "size": 760108
  },
  "path": "/seguranca/412109-virus-brasileiro-ataca-bancos-na-america-latina-e-europa.htm",
  "publishedAt": "2026-04-01T23:00:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Uma campanha de phishing, focada em usuários da América Latina e Europa, está distribuindo trojans bancários para Windows. Conhecido como Casbaneiro ou Metamortmo, esse malware se disfarça para roubar dados financeiros das vítimas, e ele se espalha por meio de outro malware, o Horabot.\n\nA atividade foi atribuída a um grupo cibercriminoso brasileiro rastreado como Augmented Marauder e Water Saci. O coletivo foi documentado pela primeira vez pela Trend Micro em outubro de 2025, quando conduziu uma campanha focada no WhatsApp, também com o objetivo de roubar informações bancárias.\n\n## O que é o Casbaneiro e como ele funciona\n\nDe acordo com a empresa de cibersegurança BlueVoyant, o grupo emprega um modelo de ataque mais abrangente. O foco está em mecanismos personalizados de entrega e propagação que inclui o WhatsApp, técnicas do ClickFix e phishing centrado em e-mail.\n\nA companhia também afirma que está evidente que, esses operadores baseados no Brasil usam a automação do WhatsApp baseada em scripts para comprometer usuários de varejo e consumidores na América Latina.\n\nDocumento PDF gerado dinamicamente pelo servidor dos criminosos, simulando uma notificação oficial da Administração de Justiça da Espanha, com dados de procedimento, prazo de comparecimento e um botão malicioso para acessar o suposto expediente. Imagem: BlueVoyant.\n\nNo entanto, eles mantêm e implantam simultaneamente um mecanismo avançado de sequestro de e-mails. O objetivo é roubar dados corporativos tanto na América Latina quanto na Europa.\n\n## Como o ataque chega até a vítima\n\nNesta campanha tudo começa com um e-mail de phishing, focado em pessoas que falam espanhol, que utiliza mensagens que imitam intimações judiciais. A ideia é induzir os destinatários a abrir um anexo PDF protegido por senha. Ao clicar em um link incorporado no documento, a vítima é direcionada a um link malicioso.\n\nExemplo de e-mail utilizado na campanha, enviado em espanhol com o assunto \"Citación judicial pendiente\", acompanhado de um anexo em PDF e uma senha fornecida no corpo da mensagem para induzir a vítima a abrir o arquivo malicioso. Imagem: BlueVoyant.\n\nA partir disso, a vítima inicia o download automático de um arquivo ZIP, o que leva à execução de cargas de HTML Application (HTA) e VBS. Essas cargas são tecnologias da Microsoft usadas para criar interfaces gráficas de usuário (GUI) e automatizar tarefas no Windows.\n\nElas são interessantes para os criminosos porque operam com privilégios elevados, o que significa que, quando executados, têm acesso quase total aos recursos do sistema do usuário, semelhante a um administrador.\n\nO script VBS foi projetado para realizar verificações de ambiente e anti-análise semelhantes às encontradas nos artefatos do Horabot. O que inclui verificações do software antivírus Avast, e prossegue para recuperar cargas úteis da fase seguinte de um servidor remoto.\n\nTrecho do script VBS recuperado de um servidor remoto, exibindo a função de decodificação utilizada pelo malware para ofuscar comandos e dificultar a análise por ferramentas de segurança. Imagem: BlueVoyant.\n\n## O papel do Horabot na propagação do malware\n\nEntre os arquivos baixados estão carregadores baseados em AutoIt, cada um extrai e executa arquivos de carga útil criptografados com extensões “.ia” ou “.at”. Assim é possível lançar duas famílias de malware, o Casbaneiro (“staticdata.dll”) e Horabot (“at.dll”).\n\nO Casbaneiro é a carga principal e o Horabot é usado como mecanismo de propagação do malware. O módulo DLL em Delphi do Casbaneiro entra em contato com um servidor de comando e controle (C2) para buscar um script PowerShell. O script é uma ferramenta de automação composta por sequências de comandos, variáveis e funções, armazenadas em arquivos.\n\nA partir dessa ferramenta é entregue a extensão que emprega o Horabot para distribuir o malware por meio de e-mails de phishing para contatos coletados do Microsoft Outlook.\n\nLista de arquivos identificados durante a análise do ataque, incluindo executáveis AutoIt renomeados, arquivos criptografados com extensões \".ia\" e \".at\", e scripts AutoIt descompilados, todos localizados no diretório público do sistema comprometido. Imagem: BlueVoyant.\n\n“O servidor cria dinamicamente um PDF personalizado e protegido por senha, simulando uma intimação judicial espanhola, que é enviado de volta ao host infectado. O script então percorre a lista de e-mails filtrada, utilizando a própria conta de e-mail do usuário comprometido para enviar um e-mail de phishing personalizado com o PDF recém-gerado em anexo”, explica a BlueVoyant.\n\nTambém é utilizada em conjunto uma DLL secundária relacionada ao Horabot (“at.dll”), que funciona como uma ferramenta de spam e sequestro de contas, visando contas do Yahoo, Live e Gmail para enviar e-mails de phishing através do Outlook. Estima-se que o Horabot tenha sido utilizado em ataques direcionados à América Latina desde, pelo menos, novembro de 2020.\n\n## WhatsApp e ClickFix também são usados na campanha\n\nO Water Saci tem um histórico de uso do WhatsApp Web como vetor de distribuição para disseminar trojans bancários como o Maverick e o Casbaneiro de maneira semelhante a um worm.\n\nNo entanto, campanhas recentes destacadas pela Kaspersky têm aproveitado a tática de engenharia social ClickFix para induzir usuários a executar arquivos HTA maliciosos, com o objetivo final de implantar o Casbaneiro e o disseminador Horabot.\n\nBrasil não está entre os alvos da campanha, mas todos os países da América Latina e nações europeias também podem ser afetadas.\n\n“Em conjunto, a integração da engenharia social do ClickFix, aliada à geração dinâmica de PDFs e à automação do WhatsApp, revela um adversário ágil que está continuamente inovando e executando diversas estratégias de ataque para contornar os controles de segurança modernos\", explica a BlueVoyant.\n\nEm última análise, a BlueVoyant avalia que esse adversário mantém uma infraestrutura de ataque bifurcada e multifacetada, implantando dinamicamente a cadeia Maverick centrada no WhatsApp e utilizando simultaneamente as estratégias de ataque do ClickFix e do Horabot, baseado em e-mail.\n\nAcompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.",
  "title": "Vírus brasileiro ataca bancos na América Latina e Europa"
}