Нова масштабна фішингова кампанія проти іспаномовних користувачів у Латинській Америці та низці європейських країн демонструє, наскільки еволюціонували банківські трояни для Windows. Зловмисники маскують свої атаки під офіційні судові документи, а кінцева мета — непомітне встановлення шкідливих програм Casbaneiro (Metamorfo) та Horabot з подальшим доступом до банківських даних і розширенням атаки через облікові записи жертв.
Water Saci / Augmented Marauder: бразильська e-crime група з фокусом на банківських троянах
За даними досліджень Trend Micro та BlueVoyant, за поточною кампанією стоїть бразильське кіберзлочинне угруповання, відоме як Water Saci або Augmented Marauder. Ця група спеціалізується на розробці та розгортанні банківських троянів, орієнтованих на фінансові організації та роздрібних користувачів у Латинській Америці, а також активно виходить на європейський ринок.
Характерна риса Water Saci — використання гібридної інфраструктури атак: поєднання фішингових листів, зловживання WhatsApp Web, а також соціальної інженерії за схемою ClickFix. Такий підхід дозволяє паралельно атакувати як корпоративні поштові системи, так і приватних користувачів у популярних месенджерах, значно ускладнюючи виявлення та блокування кампанії.
Ланцюжок атаки: від фальшивої судової повістки до повного зараження системи
Фішинговий лист і початкове завантаження шкідливого ПЗ
Початковий вектор проникнення — таргетовані фішингові листи, замасковані під офіційну судову повістку від державних органів. До листа додається PDF-файл, захищений паролем, що створює ілюзію конфіденційності та справжності документа.
Після відкриття PDF користувач бачить посилання на нібито додаткові матеріали. Перехід за посиланням запускає автоматичне завантаження ZIP-архіву з проміжними компонентами атак: файлами HTA і VBS. Їх запуск ініціює виконання наступних етапів інфікування системи.
Аналітика середовища, обхід захисту та AutoIt-завантажувачі
VBS-скрипт виконує низку перевірок середовища та антианалізу: намагається виявити популярні антивірусні рішення (зокрема, Avast), перевіряє, чи не працює він у віртуальній машині або sandbox-середовищі, де його можуть досліджувати спеціалісти з безпеки. Якщо ознак аналізу або захисту не виявлено, скрипт завантажує наступну стадію — AutoIt-завантажувачі із віддаленого сервера.
Ці завантажувачі розпаковують і запускають зашифровані файли з розширеннями .ia та .at, у результаті чого на систему потрапляють два ключові модулі — банківський троян Casbaneiro (staticdata.dll) та пов’язаний із ним компонент Horabot (at.dll).
Casbaneiro та Horabot: взаємодія, C2-інфраструктура та динамічні PDF
Основне навантаження несе Casbaneiro — DLL-модуль на Delphi, який встановлює з’єднання з сервером команд і контролю (C2). Після успішного підключення він завантажує PowerShell-скрипт, що відповідає за подальший розвиток атаки та використання Horabot як механізму поширення.
На відміну від попередніх кампаній, де Horabot розсилав статичні вкладення, поточна схема базується на динамічній генерації PDF-документів. Інфікована машина надсилає POST-запит до PHP-скрипту gera_pdf.php на скомпрометованому домені, передаючи випадковий чотиризначний PIN. У відповідь сервер формує унікальний парольний PDF іспанською мовою, який знову імітує судову повістку, і повертає його для подальшого використання у фішингових розсилках.
Поширення через Outlook, веб-пошту та WhatsApp: ефект фішингового «черв’яка»
PowerShell-скрипт аналізує адресну книгу Microsoft Outlook, відбираючи релевантні контакти. Далі зловмисники використовують обліковий запис самої жертви для надсилання нової хвилі фішингових листів з тільки-но згенерованим PDF у вкладенні. Оскільки лист надходить із довіреної адреси, ймовірність його відкриття суттєво зростає.
Другий модуль Horabot (at.dll) працює як спамер і засіб викрадення облікових даних, орієнтуючись на акаунти Yahoo, Microsoft Live та Gmail. При цьому управління розсилкою все одно відбувається через Outlook, що дозволяє будувати ланцюжки заражень і досягати ефекту поштового «черв’яка», який автоматично розповсюджується за контактами користувачів.
Попередні дослідження також фіксували активне використання WhatsApp Web для поширення троянів Maverick і Casbaneiro: шкідливі посилання розсилалися по контакт-листу, що створювало ефект лавиноподібного зараження серед знайомих і колег жертви.
ClickFix та обхід сучасних засобів захисту
У новіших кампаніях, за даними Kaspersky та інших дослідників, Water Saci застосовує соціоінженерну техніку ClickFix. Користувачу пропонують «виправити помилку» або «оновити документ», натиснувши на посилання, яке насправді запускає шкідливий HTA-файл. У підсумку на систему встановлюються Casbaneiro та Horabot, що забезпечує як крадіжку даних, так і подальше розповсюдження малварі.
Експерти BlueVoyant відзначають, що поєднання ClickFix, динамічно генерованих PDF і автоматизації через Outlook та WhatsApp свідчить про високу адаптивність групи. Зловмисники цілеспрямовано обходять фільтрацію пошти, sandbox-рішення та поведінкові детектори, знижуючи ефективність традиційних антивірусних підходів.
Ключові заходи захисту для організацій у Латинській Америці та Європі
Поточна хвиля атак із використанням зв’язки Casbaneiro–Horabot підкреслює необхідність багаторівневої кібербезпеки. Організаціям варто посилити фільтрацію пошти (перевірка вкладень, блокування HTA/VBS, аналіз посилань), впровадити двохфакторну автентифікацію для корпоративної пошти та месенджерів, а також централізовано контролювати виконання скриптів VBS, PowerShell, HTA на робочих станціях.
Критично важливими залишаються регулярне навчання співробітників розпізнаванню фальшивих «судових повісток» та інших форм соціальної інженерії, а також проактивний моніторинг аномальної вихідної поштової активності. Поєднання технічних засобів захисту та підвищення обізнаності користувачів суттєво зменшує ризики успішного впровадження банківських троянів Casbaneiro і Horabot в інфраструктуру компанії та допомагає зупинити ланцюгове розповсюдження подібних фішингових кампаній.
