Operação mira usuários hispanofalantes na América Latina e na Europa com anexos PDF protegidos por senha, cadeia HTA/VBS e propagação por contas de e-mail comprometidas.
| Componente | Campanha de phishing que entrega os trojans bancários Windows Casbaneiro, também conhecido como Metamorfo, e Horabot. |
| Vetor | E-mails com tema de intimação judicial induzem a abertura de PDF protegido por senha; o link embutido leva ao download de arquivo ZIP e à execução intermediária de payloads HTA e VBS. |
| Impacto | Execução de loaders AutoIt, carregamento de payloads criptografados, contato com servidor de comando e controle e propagação por contatos coletados do Microsoft Outlook. |
| Prioridade | Bloquear a cadeia de anexos e downloads, investigar execuções de HTA, VBS, AutoIt e PowerShell associadas a e-mails judiciais falsos e revisar contas de e-mail com envio anômalo. |
| Artefatos | Arquivos citados incluem staticdata.dll, associado ao Casbaneiro, at.dll, associado ao Horabot, e payloads criptografados com extensões .ia e .at. |
| IoCs | A cadeia usa uma API PHP para geração de PDF em domínio defangado hxxps://tt.grupobedfs[.]com/.../gera_pdf.php. |
Uma campanha de phishing com múltiplos caminhos de entrega está mirando usuários hispanofalantes em organizações da América Latina e da Europa para instalar trojans bancários Windows, principalmente Casbaneiro, também chamado de Metamorfo. A operação combina iscas por e-mail, documentos PDF protegidos por senha, downloads automáticos de arquivos compactados, execução de componentes HTA e VBS, loaders baseados em AutoIt e uso do Horabot como mecanismo auxiliar de propagação. O resultado é uma cadeia que não depende apenas de um anexo malicioso estático: a infraestrutura gera documentos sob demanda e usa contas comprometidas para ampliar a distribuição.
A atividade foi atribuída ao operador brasileiro rastreado como Augmented Marauder e Water Saci. O grupo é descrito como um ator de crime eletrônico com histórico de uso de automação em WhatsApp Web para disseminar trojans bancários, incluindo Maverick e Casbaneiro, em fluxo semelhante a propagação automática. Nesta campanha, a mesma lógica de distribuição aparece em trilhas paralelas: uma voltada ao e-mail corporativo, outra associada a ClickFix e outra centrada em WhatsApp. A separação desses caminhos é importante para defesa porque um bloqueio limitado ao gateway de e-mail pode não capturar o abuso de navegadores, mensagens instantâneas e execução local de scripts.
O início observado é um e-mail de phishing com tema de intimação judicial. A mensagem tenta convencer o destinatário a abrir um PDF protegido por senha. O uso de senha reduz a capacidade de inspeção automática por alguns controles de segurança e cria uma aparência de documento reservado. Dentro do PDF há um link que redireciona a vítima para um endereço malicioso e inicia o download automático de um arquivo ZIP. A partir desse ponto, a cadeia passa para componentes intermediários em HTA e VBS, usados para preparar o ambiente e buscar as próximas etapas.
O script VBS executa verificações de ambiente e de antianálise semelhantes às associadas a artefatos do Horabot. O material analisado menciona checagem da presença do antivírus Avast, além de lógica para recuperar payloads adicionais em servidor remoto. Entre os arquivos baixados estão loaders construídos com AutoIt. Esses loaders extraem e executam payloads criptografados com extensões .ia e .at, o que posterga a exposição do conteúdo final até a execução local. A cadeia termina no carregamento de duas famílias: Casbaneiro, por meio de staticdata.dll, e Horabot, por meio de at.dll.
O Casbaneiro aparece como payload principal. Seu módulo DLL em Delphi contata um servidor de comando e controle para recuperar um script PowerShell. Esse script usa o Horabot para coletar contatos do Microsoft Outlook e distribuir novas mensagens de phishing a partir da conta comprometida. Em vez de enviar sempre o mesmo arquivo ou um link fixo, a cadeia faz uma requisição HTTP POST para uma API PHP remota, passando um PIN aleatório de quatro dígitos. O servidor responde com um PDF personalizado, protegido por senha e tematizado como uma intimação judicial em espanhol. Esse documento então é anexado a mensagens enviadas para contatos filtrados, usando a reputação da conta já comprometida para aumentar a chance de entrega e abertura.
Há ainda uma DLL relacionada ao Horabot, at.dll, descrita como ferramenta de spam e sequestro de contas. Ela mira contas Yahoo, Live e Gmail e utiliza Outlook para envio de mensagens de phishing. Essa combinação de roubo de canal, geração dinâmica de documento e reaproveitamento de contato legítimo muda o padrão de detecção: a defesa precisa correlacionar comportamento de endpoint, atividade de cliente de e-mail, criação de anexos e volume de saída, não apenas reputação de remetente externo.
A superfície exposta inclui usuários Windows que recebem e-mails em espanhol com aparência de comunicação judicial, estáções com associação de arquivos capaz de abrir HTA e executar scripts, clientes com Microsoft Outlook configurado e contas que tenham contatos reutilizáveis para propagação. Organizações na América Latina e na Europa aparecem como alvos da campanha, com foco em usuários hispanofalantes. O risco é maior quando anexos protegidos por senha passam por inspeção limitada, quando links embutidos em PDFs não são reescritos ou detonados de forma adequada e quando a execução de scripts pelo usuário final permanece ampla.
O papel do Horabot amplia o alcance do incidente porque a máquina infectada não serve apenas como hospedeira do trojan bancário. Ela também pode se tornar um ponto de redistribuição por e-mail, enviando PDFs recém-gerados a partir de uma conta confiável para os destinatários. Esse comportamento transforma credenciais e perfis locais de e-mail em ativos de abuso, mesmo quando a intrusão inicial não envolve exploração de vulnerabilidade de software. No fluxo descrito, a engenharia social é a condição central: abertura do anexo, interação com o link e execução de componentes intermediários.
- Usuários Windows que recebem PDFs protegidos por senha com tema de intimação judicial em espanhol.
- Ambientes com Microsoft Outlook e listas de contatos acessíveis ao host comprometido.
- Contas Yahoo, Live e Gmail que possam ser usadas em fluxo de envio abusivo por Outlook.
- Estáções que permitem execução de
HTA,VBS, AutoIt e PowerShell sem controles restritivos. - Canais alternativos associados ao mesmo operador, incluindo WhatsApp Web e iscas ClickFix.
A investigação deve começar pela correlação entre e-mails de tema jurídico, anexos PDF protegidos por senha e downloads subsequentes de arquivos ZIP. Em endpoint, os sinais mais úteis estão na sequência de processos: leitor de PDF ou navegador iniciando download, execução de artefatos HTA, chamada de interpretador VBS, criação ou execução de binários AutoIt, carregamento de DLLs com nomes citados e posterior uso de PowerShell. O valor defensivo está em reconstruir a cadeia temporal, porque cada artefato isolado pode parecer menos conclusivo do que a sequência completa.
Em e-mail, procure contas que passaram a enviar anexos PDF semelhantes para muitos contatos em curto intervalo, especialmente quando o assunto ou o corpo da mensagem replica tema judicial em espanhol. A presença de PDFs protegidos por senha gerados em sequência pode indicar uso da API dinâmica. Em rede, a comunicação com domínio C2 defangado e chamadas a caminhos PHP de geração de PDF devem ser tratadas como sinal de investigação, assim como requisições HTTP POST incomuns originadas de estáções de usuário após execução de scripts. Em identidade, anomalias de login em contas Yahoo, Live, Gmail ou uso inesperado dessas contas em cliente Outlook merecem revisão.
A telemetria de navegador e mensagens também importa porque o operador mantém trilhas de distribuição fora do e-mail tradicional. Atividade de WhatsApp Web seguida por envio em massa de mensagens com links, arquivos ou instruções de execução deve ser analisada no mesmo caso quando houver Casbaneiro, Maverick ou Horabot no ambiente. Para ClickFix, o indicador defensivo é a tentativa de convencer o usuário a executar conteúdo local, normalmente com componente HTA, sem que a defesa precise reproduzir a instrução operacional.
- E-mail com PDF protegido por senha, tema judicial em espanhol e link embutido para download de ZIP.
- Cadeia de processos envolvendo
HTA,VBS, AutoIt, PowerShell e carregamento destaticdata.dllouat.dll. - Requisições HTTP POST para endpoint PHP de geração de PDF, incluindo domínio defangado
hxxps://tt.grupobedfs[.]com/.../gera_pdf.php. - Envio anômalo de mensagens pelo Outlook para contatos existentes após a execução local de scripts.
- Uso incomum de contas Yahoo, Live ou Gmail em fluxo de spam ou autenticação associada a uma estáção comprometida.
A resposta deve priorizar contenção do host que executou a cadeia, preservação de artefatos para análise e bloqueio de novos envios pela conta afetada. Em estáções suspeitas, isole o endpoint, colete linha do tempo de processos, arquivos baixados, scripts temporários, DLLs carregadas e conexões de rede. No e-mail, suspenda ou limite a capacidade de envio da conta comprometida, revise regras de caixa postal, tokens de sessão, clientes conectados e histórico de mensagens disparadas. Como a propagação usa contatos do Outlook, a análise de destinatários é necessária para identificar possíveis vítimas secundárias dentro e fora da organização.
A mitigação preventiva envolve bloquear ou restringir execução de HTA e scripts para usuários que não precisam desse recurso, aplicar políticas de controle de aplicação para AutoIt e PowerShell, inspecionar anexos protegidos por senha com tratamento de risco mais alto e reforçar detonação de links dentro de PDFs. Gateways de e-mail devem pontuar mensagens com tema judicial, anexos protegidos por senha e remetente interno recém-comprometido, não apenas remetentes externos desconhecidos. Em endpoints, regras comportamentais que combinem leitor de documento, download de ZIP, execução de script e contato com domínio remoto oferecem cobertura mais robusta do que indicadores estáticos.
Depois da contenção, valide se houve envio lateral por Outlook ou por contas pessoais usadas no cliente local. Redefina credenciais e sessões quando houver evidência de sequestro de conta, revise dispositivos confiáveis e aplique autenticação multifator onde disponível. Para usuários impactados, a comunicação deve focar no reconhecimento de PDFs protegidos por senha com suposta intimação judicial, links embutidos e solicitações de execução local. A orientação defensiva não deve depender de bloquear um único domínio ou arquivo, pois a campanha usa geração dinâmica de PDF e múltiplos caminhos de entrega.
- Isolar endpoints que executaram
HTA,VBS, AutoIt ou PowerShell após abertura de PDF suspeito. - Bloquear domínio C2 defangado e caminhos PHP associados, mantendo a busca por variações de infraestrutura.
- Revisar contas Outlook, Yahoo, Live e Gmail usadas em envio anômalo e encerrar sessões suspeitas.
- Aplicar controle de aplicação para impedir execução desnecessária de
HTA, scripts e loaders AutoIt. - Criar detecções por sequência de comportamento: PDF protegido por senha, ZIP baixado, script executado, DLL carregada e envio de e-mails em massa.
0 Comentários