Eine groß angelegte, mehrstufige Phishing-Kampagne zielt derzeit auf spanischsprachige Nutzer in Organisationen in ganz Lateinamerika sowie in mehreren europäischen Ländern ab. Im Fokus der Angreifer steht die unauffällige Einschleusung von Banking-Trojanern für Windows, insbesondere Casbaneiro (Metamorfo), der durch das Modul Horabot unterstützt und weiterverbreitet wird.
Water Saci / Augmented Marauder: Professionelle e-Crime-Gruppe aus Brasilien
Die Kampagne wird dem brasilianischen Cybercrime-Kollektiv Water Saci, auch als Augmented Marauder bekannt, zugeordnet. Laut aktuellen Analysen spezialisiert sich diese Gruppe auf Banking-Trojaner, die Finanzinstitutionen und Privatnutzer in Lateinamerika kompromittieren sollen. Charakteristisch ist der Fokus auf spanisch- und portugiesischsprachige Opfer und die systematische Monetarisierung über Online-Banking und Payment-Dienste.
Die Angreifer setzen eine hybride Angriffsinfrastruktur ein, die klassische E-Mail-Phishing-Kampagnen, Sozialingenieurangriffe nach dem ClickFix-Muster und Malware-Verteilung über WhatsApp Web kombiniert. Dieser Mix ermöglicht es, sowohl Privatpersonen als auch Unternehmen in Lateinamerika und Europa gleichzeitig zu adressieren und unterschiedliche Sicherheitsniveaus zu umgehen.
Angriffskette: Von der gefälschten Gerichtsvorladung zum Banking-Trojaner
Der primäre Einstiegspunkt ist ein zielgerichtetes Phishing-E-Mail, das als angebliche gerichtliche Vorladung von staatlichen Stellen getarnt ist. Um Seriosität und Vertraulichkeit vorzutäuschen, enthält die Nachricht ein passwortgeschütztes PDF-Dokument, dessen Passwort im Mailtext mitgeliefert wird. Solche scheinbar „sicheren“ Dokumente passieren häufig automatisierte Filter, weil sie auf den ersten Blick wie legitime Behördenkommunikation wirken.
Nach dem Öffnen des PDFs sieht das Opfer einen Link zu einer externen Ressource. Der Klick führt zum automatischen Download eines ZIP-Archivs, das HTA- und VBS-Dateien enthält. Diese Skripte stellen die Zwischenstufe der Infektion dar und werden auf dem System des Opfers ausgeführt, um den eigentlichen Schadcode nachzuladen.
Der VBS-Skriptcode führt umfangreiche Umgebungs- und Anti-Analyse-Prüfungen durch. Unter anderem werden gängige Antivirenlösungen wie Avast erkannt und Anzeichen für virtuelle Maschinen oder Sandbox-Umgebungen geprüft. Nur wenn keine Schutzmechanismen identifiziert werden, lädt das Skript die nächste Stufe nach – darunter AutoIt-basierte Loader, die wesentlich schwerer zu signaturbasiertem Erkennen sind.
Casbaneiro–Horabot-Toolchain: Loader, DLLs und Command-and-Control
Die AutoIt-Loader entpacken und starten verschlüsselte Dateien mit den Endungen .ia und .at. Dadurch werden zwei zentrale Malware-Komponenten installiert: der Banking-Trojaner Casbaneiro (als staticdata.dll) und das zugehörige Modul Horabot (als at.dll). Casbaneiro ist seit Jahren für den Diebstahl von Online-Banking-Zugangsdaten, Token und anderen Finanzinformationen bekannt.
Die auf Delphi basierende staticdata.dll baut eine Verbindung zu einem Command-and-Control-(C2)-Server auf und lädt einen PowerShell-Skript nach. Dieser Skript nutzt Horabot als Verteilerplattform: Er erweitert die Infektion, indem er neue Phishing-Mails über bereits kompromittierte Konten versendet und so eine kettenartige Ausbreitung ermöglicht.
Dynamisch generierte PDF-Dokumente zur Umgehung von Sicherheitsfiltern
Ein zentrales Unterscheidungsmerkmal gegenüber früheren Horabot-Kampagnen ist der Einsatz von dynamisch generierten PDF-Dateien. Die infizierte Maschine sendet einen POST-Request an ein kompromittiertes System mit einem PHP-Skript (gera_pdf.php) und übermittelt dabei eine zufällige vierstellige PIN. Der Server erzeugt daraufhin ein individuelles, passwortgeschütztes PDF, das erneut eine angebliche Gerichtsvorladung auf Spanisch imitiert, und liefert es an das Bot-System zurück.
Durch diese Dynamik entstehen für jedes Ziel einzigartige Dokumente, was die Erkennung durch herkömmliche Signatur- und Hash-basierte Sicherheitslösungen erheblich erschwert. Moderne Angriffe setzen zunehmend auf solche Techniken, um statische E-Mail-Filter und Sandbox-Analysen zu umgehen.
Selbstausbreitung über Outlook, Webmail-Konten und WhatsApp
Der PowerShell-Skript durchsucht das lokale Adressbuch von Microsoft Outlook und filtert relevante Kontakte. Anschließend versenden die Angreifer Phishing-Mails direkt über das tatsächliche Konto des Opfers und hängen das frisch generierte PDF an. Da Nachricht und Absender legitim erscheinen, steigt die Erfolgswahrscheinlichkeit für weitere Infektionen deutlich.
Parallel dazu wird ein weiterer Horabot-DLL-Baustein (at.dll) aktiviert, der als Spammer und Credential-Stealer fungiert. Er zielt auf Zugangsdaten zu Yahoo-, Microsoft-Live- und Gmail-Konten ab. Die eigentliche Verteilung bleibt jedoch eng mit Outlook verzahnt, was der Kampagne einen wurmähnlichen Charakter verleiht: Jede neu kompromittierte Mailbox dient wiederum als Ausgangspunkt für weitere Phishing-Wellen.
Bereits zuvor wurde Water Saci durch den Missbrauch von WhatsApp Web auffällig: Über kompromittierte Sitzungen wurden in großem Stil Links zu Banking-Trojanern wie Maverick und Casbaneiro an Kontaktlisten verschickt. In neueren Wellen kommt zudem der ClickFix-Ansatz zum Einsatz. Opfer werden dabei aufgefordert, angebliche Fehler in Dokumenten „zu beheben“ oder Inhalte „zu aktualisieren“. Der Klick führt zur Ausführung von HTA-Dateien, die letztlich Casbaneiro und das Horabot-Verteilermodul installieren.
Risikoanalyse und empfohlene Schutzmaßnahmen für Unternehmen
Studien wie der Verizon Data Breach Investigations Report 2023 zeigen, dass rund drei Viertel aller Sicherheitsvorfälle direkt oder indirekt auf den menschlichen Faktor – insbesondere Phishing und Social Engineering – zurückgehen. Die hier beschriebene Kampagne kombiniert mehrere Erfolgsfaktoren: glaubwürdige Behörden-Tarnung, Nutzung legitimer Tools wie VBS, PowerShell und AutoIt („Living off the Land“) und dynamisch generierte Dokumente zur Umgehung klassischer Erkennung.
Organisationen in Lateinamerika und Europa sollten daher auf mehrere, ineinandergreifende Kontrollen setzen:
1. Starke E-Mail-Sicherheit: Einsatz von Secure-E-Mail-Gateways mit Sandboxing, heuristischer Analyse und URL-Rewrite, strikte Prüfung von passwortgeschützten Anhängen und konsequente Blockierung ausführbarer Inhalte in ZIP-Archiven.
2. Härtung von Endpunkten: Einschränkung oder Überwachung von PowerShell-, VBS- und HTA-Ausführung, Application Allowlisting, moderne EDR/XDR-Lösungen zur Erkennung verdächtigen Skriptverhaltens und C2-Kommunikation.
3. Schutz von Konten und Identitäten: Erzwingung von Multi-Faktor-Authentifizierung (MFA) für E-Mail- und Cloud-Services, Überwachung auffälliger Anmeldeversuche, strikte Richtlinien für Passwortwiederverwendung und -länge.
4. Sicherheitsbewusstsein und Prozesse: Regelmäßige Schulungen zu gefälschten Gerichtsvorladungen, angeblichen Behördenmails und ClickFix-ähnlichen Szenarien, etablierte Meldewege für verdächtige Nachrichten sowie simulierte Phishing-Kampagnen zur Überprüfung der Wirksamkeit.
Angesichts der hohen Professionalität der Water-Saci-Gruppe und der Kombination aus Casbaneiro und Horabot ist zu erwarten, dass ähnliche Kampagnen weiter ausgebaut und an neue Kanäle angepasst werden. Unternehmen sollten deshalb ihre E-Mail- und Messaging-Sicherheitsstrategien überprüfen, die Ausführung von Skriptsprachen technisch begrenzen und das Sicherheitsbewusstsein der Mitarbeitenden kontinuierlich stärken, um das Risiko erfolgreicher Banking-Trojaner-Angriffe nachhaltig zu reduzieren.
