Крупная многоэтапная фишинговая кампания нацелена на испаноязычных пользователей в организациях по всей Латинской Америке и в ряде европейских стран. Цель атакующих — незаметно доставить к системе жертвы банковские трояны для Windows, в первую очередь Casbaneiro (Metamorfo), используя в качестве вспомогательного инструмента малварь Horabot.
Кто стоит за атаками: Water Saci / Augmented Marauder
Деятельность кампании связывают с бразильской киберпреступной группировкой, отслеживаемой под названиями Augmented Marauder и Water Saci. По данным исследователей, эта e-crime-группа была впервые подробно описана в отчётах Trend Micro в октябре 2025 года и специализируется на банковских троянах, ориентированных на финансовые организации и розничных пользователей в регионе Латинской Америки.
По информации аналитиков BlueVoyant, злоумышленники используют гибридную инфраструктуру атак, совмещающую сценарии заражения через WhatsApp, социальную инженерию по схеме ClickFix и классические email-фишинговые рассылки. Такой подход позволяет одновременно атаковать как частных пользователей, так и корпоративный сегмент, включая компании в Европе.
Сценарий атаки: от повестки в суд до банковского трояна
Основной вектор начального проникновения — таргетированное фишинговое письмо. Атакующие маскируют его под судебную повестку, направленную якобы от государственных структур. В письме содержится защищённый паролем PDF-файл, что призвано создать у жертвы ощущение доверия и конфиденциальности.
После открытия PDF получатель видит ссылку, ведущую на вредоносный ресурс. Переход по этой ссылке автоматически загружает ZIP-архив. Внутри архива находятся промежуточные вредоносные компоненты — файлы форматов HTA и VBS, которые запускаются на системе жертвы и инициируют дальнейшее заражение.
VBS-скрипт выполняет серию проверок окружения и антианализ: например, выявляет наличие антивирусных решений вроде Avast и пытается определить, не работает ли он в виртуальной машине или песочнице. Если препятствий не обнаружено, скрипт загружает следующую стадию атаки с удалённого сервера, включая загрузчики на базе AutoIt.
Связка Casbaneiro и Horabot: загрузчики, DLL и C2
AutoIt-загрузчики распаковывают и запускают зашифрованные файлы с расширениями .ia и .at. В результате на системе разворачиваются сразу две вредоносные программы: банковский троян Casbaneiro (модуль staticdata.dll) и связанный с ним модуль Horabot (файл at.dll).
Ключевым полезным нагрузчиком выступает именно Casbaneiro. Его DLL, написанная на Delphi, устанавливает соединение с сервером управления и контроля (C2) и загружает PowerShell-скрипт. Этот скрипт, в свою очередь, использует Horabot как механизм дальнейшего распространения малвари через фишинговые рассылки.
В отличие от более ранних кампаний с Horabot, где рассылались статические вложения или фиксированные ссылки, текущая схема опирается на динамическую генерацию PDF-документов. Инфицированная машина отправляет POST-запрос к удалённому PHP-скрипту (gera_pdf.php) на скомпрометированном домене, передавая случайный четырёхзначный PIN. Cервер формирует уникальный защищённый паролем PDF, вновь имитирующий судебную повестку на испанском языке, и возвращает его обратно.
Фишинговый «червь» через Outlook и популярные почтовые сервисы
PowerShell-скрипт перебирает адреса из записной книги Microsoft Outlook, отфильтровывая релевантные контакты. Далее злоумышленники используют уже аккаунт самой жертвы для отправки фишинговых писем с только что сгенерированным PDF во вложении. Это значительно повышает доверие к письму и вероятность успешного заражения новой цели.
Дополнительно задействуется ещё один DLL-файл Horabot (at.dll), выполняющий функции спамера и средства захвата учётных записей. Он нацелен на аккаунты Yahoo, Microsoft Live и Gmail, однако управление рассылкой по-прежнему осуществляется через Outlook, что позволяет злоумышленникам масштабировать кампанию и формировать эффект «червя», автоматически распространяющегося по цепочкам контактов.
WhatsApp, ClickFix и расширение вектора атак
Группировка Water Saci известна не только email-фишингом. Ранее исследователи фиксировали массовое использование WhatsApp Web для распространения банковских троянов Maverick и Casbaneiro: вредоносные ссылки рассылались по спискам контактов, что создавало цепную реакцию заражений.
В более свежих кампаниях, по данным Kaspersky, злоумышленники применяют приём ClickFix. Эта социальная инженерия побуждает пользователя «исправить ошибку» или «обновить документ» и под этим предлогом запускает вредоносные HTA-файлы, которые в итоге устанавливают Casbaneiro и модуль-распространитель Horabot.
Эксперты BlueVoyant подчёркивают, что комбинация ClickFix, динамически генерируемых PDF и автоматизации через WhatsApp демонстрирует высокую адаптивность группы и нацеленность на обход современных средств защиты, включая фильтрацию почты, sandbox-решения и поведенческие детекторы.
Для организаций в Латинской Америке и Европе эти атаки подчеркивают необходимость многоуровневой защиты: усиленной фильтрации почты, двухфакторной аутентификации для почтовых и мессенджер-аккаунтов, контроля макросов и скриптов (VBS, PowerShell, HTA), а также регулярного обучения сотрудников распознаванию поддельных «судебных повесток» и других форм социальной инженерии. Проактивный мониторинг аномалий в исходящей почтовой активности и своевременное обновление средств защиты существенно снижают риск успешного использования связки Casbaneiro–Horabot в корпоративной инфраструктуре.
