Coletivo rastreado como Water Saci combina engenharia social, automação de WhatsApp e sequestro de e-mails para roubar dados financeiros corporativos e de consumidores
Uma nova campanha de phishing, voltada para usuários na América Latina e Europa, tem distribuído trojans bancários para sistemas Windows. Conhecido como Casbaneiro ou Metamortmo, esse malware se disfarça para roubar dados financeiros, disseminando-se através de outro software malicioso, o Horabot.
A ação foi atribuída a um grupo criminoso cibernético brasileiro denominado Augmented Marauder e Water Saci. O coletivo foi documentado pela primeira vez pela Trend Micro em outubro de 2025, quando lançou uma campanha visando o WhatsApp, também com a meta de roubar informações bancárias.
O que é o Casbaneiro e como ele atua
Segundo a empresa de cibersegurança BlueVoyant, o grupo utiliza um modelo de ataque abrangente, focando em métodos personalizados de entrega e propagação, incluindo técnicas de ClickFix e phishing via e-mail.
Estão claros os esforços dos criminosos, que empregam automação por meio de scripts no WhatsApp para comprometer consumidores e usuários de varejo na América Latina.
Como o ataque é realizado
A campanha se inicia com um e-mail de phishing direcionado a falantes de espanhol, que imita mensagens de intimações judiciais. O objetivo é fazer com que os destinatários abram um anexo PDF protegido por senha. Ao clicar em um link dentro do documento, a vítima é direcionada para uma página maliciosa.
A partir desse ponto, um arquivo ZIP é baixado automaticamente, desencadeando a execução de aplicativos de HTML (HTA) e VBS. Essas ferramentas, desenvolvidas pela Microsoft, operam com privilégios elevados, permitindo acesso quase total ao sistema do usuário.
O script VBS é programado para executar verificações no ambiente, similar ao que se encontra nos artefatos do Horabot, incluindo a detecção de software antivírus como o Avast, antes de buscar mais cargas de um servidor remoto.
O papel do Horabot na disseminação do malware
Entre os arquivos baixados, existem carregadores em AutoIt, que extraem e executam arquivos de carga útil criptografados. Dessa forma, são ativadas duas famílias de malware: o Casbaneiro e o Horabot.
O Casbaneiro age como a carga principal, enquanto o Horabot é utilizado para disseminar o malware. O módulo DLL do Casbaneiro se conecta a um servidor de comando e controle (C2) para obter um script PowerShell, que serve como uma ferramenta de automação codificada em arquivos.
Com isso, a extensão do Horabot é usada para enviar e-mails de phishing para contatos coletados do Microsoft Outlook.
WhatsApp e ClickFix em ação
O Water Saci tem um histórico de uso do WhatsApp Web como vetor de distribuição para a disseminação de trojans bancários como o Maverick e o Casbaneiro. Recentemente, táticas de engenharia social mediante ClickFix têm sido utilizadas para induzir usuários a executar arquivos HTA maliciosos, com o objetivo de implantar o Casbaneiro.
A integração dessas estratégias revela um adversário inovador, que constantemente aprimora suas táticas para superar as defesas de segurança contemporâneas.
Em comparação, a BlueVoyant observa que o adversário mantém uma estrutura de ataque diversificada e dinâmica, implementando simultaneamente várias estratégias que envolvem o WhatsApp e o uso do e-mail para espalhar o malware.
Acompanhe a TecMania para se manter informado sobre esse assunto. Inscreva-se em nossa newsletter e canal do YouTube para mais atualizações sobre segurança e tecnologia.