Una nueva campaña de phishing multinivel está apuntando de forma específica a usuarios hispanohablantes en organizaciones de toda Latinoamérica y varios países europeos. El objetivo principal de los atacantes es infectar sistemas Windows con troyanos bancarios, en particular Casbaneiro (también conocido como Metamorfo), apoyándose en el malware Horabot como herramienta de distribución y propagación.
Water Saci / Augmented Marauder: grupo brasileño especializado en troyanos bancarios
La operación se atribuye a una banda de ciberdelincuencia brasileña conocida en la industria como Water Saci o Augmented Marauder. De acuerdo con análisis previos de proveedores como Trend Micro, este grupo se ha consolidado como uno de los actores más activos en el desarrollo y difusión de malware financiero centrado en entidades bancarias y usuarios finales de la región latinoamericana.
Investigadores de BlueVoyant describen una infraestructura de ataque híbrida que combina varios vectores: campañas de phishing por correo electrónico, mensajes a través de WhatsApp Web y técnicas de ingeniería social del tipo ClickFix. Esta combinación les permite comprometer tanto cuentas personales como entornos corporativos, incluyendo empresas con sede en Europa pero con operaciones o personal hispanohablante.
Cadena de infección: de la falsa citación judicial al troyano bancario
El punto de entrada preferente es un correo electrónico de phishing dirigido que se hace pasar por una citación judicial emitida supuestamente por una entidad gubernamental. El mensaje incluye un archivo PDF protegido por contraseña, lo que genera una apariencia de legitimidad y confidencialidad y, al mismo tiempo, dificulta el análisis automático por parte de algunos filtros antimalware.
Al abrir el PDF, la víctima encuentra un enlace que redirige a un sitio malicioso desde el que se descarga de forma automática un archivo ZIP. Este archivo contiene componentes intermedios en formato HTA y VBS, encargados de iniciar el resto de la cadena de infección una vez ejecutados en el equipo comprometido.
El script VBS ejecuta comprobaciones de entorno y técnicas de anti-análisis, como la detección de determinados antivirus (por ejemplo, Avast) o la identificación de entornos virtualizados y sandboxes, típicamente usados por analistas de malware. Si no detecta obstáculos, descarga la siguiente fase desde un servidor remoto, que incluye cargadores basados en AutoIt.
Casbaneiro y Horabot: tándem de malware financiero y propagación
Los loaders de AutoIt desempaquetan y ejecutan ficheros cifrados con extensiones .ia y .at. A partir de estos, se despliegan en la máquina dos componentes clave: el troyano bancario Casbaneiro (módulo staticdata.dll) y el módulo asociado Horabot (archivo at.dll).
Casbaneiro, escrito en Delphi, actúa como payload principal. Establece comunicación con un servidor de comando y control (C2) y descarga un script de PowerShell, que a su vez se apoya en Horabot para ampliar la infección mediante nuevas campañas de phishing generadas desde las propias máquinas comprometidas.
Una de las particularidades de esta campaña es el uso de PDF dinámicos protegidos por contraseña. La máquina infectada envía una petición POST a un script PHP (gera_pdf.php) alojado en un dominio comprometido, proporcionando un PIN aleatorio de cuatro dígitos. El servidor genera entonces un PDF único, en español, que vuelve a simular una citación judicial, y lo devuelve listo para ser enviado a nuevas víctimas.
Propagación tipo gusano a través de Outlook y servicios de correo populares
El script de PowerShell recorre la libreta de direcciones de Microsoft Outlook, filtrando contactos considerados relevantes. Desde la propia cuenta de correo de la víctima, los atacantes envían nuevos mensajes de phishing con el PDF malicioso adjunto. Este uso de cuentas legítimas incrementa notablemente la tasa de apertura y reduce la sospecha, ya que los correos parecen proceder de un remitente conocido.
Paralelamente, el módulo at.dll de Horabot funciona como spammer y ladrón de credenciales, centrado en servicios como Yahoo, Microsoft Live y Gmail. La orquestación de la campaña sigue girando en torno a Outlook, lo que permite a los atacantes lograr un efecto de “gusano” de correo, extendiéndose de forma automática a lo largo de cadenas de contactos y organizaciones interconectadas.
WhatsApp, ClickFix y evolución de las tácticas de ingeniería social
Water Saci ya había sido vinculado anteriormente a campañas masivas de distribución de los troyanos bancarios Maverick y Casbaneiro mediante WhatsApp Web, enviando enlaces maliciosos a los contactos de las cuentas comprometidas. En campañas más recientes, analistas de Kaspersky han observado el uso de la técnica ClickFix, que persuade al usuario para “corregir un error” o “actualizar un documento”, induciéndole a ejecutar archivos HTA maliciosos que culminan en la instalación de Casbaneiro y del módulo distribuidor Horabot.
De acuerdo con los expertos, la combinación de ClickFix, PDF generados dinámicamente y automatización a través de correo y mensajería instantánea ilustra una alta capacidad de adaptación del grupo, orientada a eludir filtros de correo avanzados, soluciones sandbox y mecanismos de detección basados en comportamiento.
Para organizaciones en Latinoamérica y Europa, esta campaña refuerza la necesidad de una defensa en profundidad: filtrado robusto de correo electrónico, autenticación multifactor para cuentas de email y mensajería, control estricto de la ejecución de scripts (VBS, PowerShell, HTA) y políticas de endurecimiento de endpoints. La formación continua de los empleados para reconocer “falsas citaciones judiciales” y otros señuelos de ingeniería social, junto con la monitorización proactiva de anomalías en el correo saliente y la actualización constante de las soluciones de seguridad, son medidas críticas para reducir la superficie de ataque frente a troyanos bancarios como Casbaneiro y plataformas de propagación como Horabot.
