Uma campanha sofisticada de phishing está atingindo organizações na América Latina e Europa, utilizando arquivos PDF dinâmicos para distribuir trojans bancários como o Casbaneiro (também conhecido como Metamorfo). A operação é atribuída a um grupo hacker brasileiro identificado como Augmented Marauder e Water Saci, conhecido por campanhas anteriores focadas em roubo de credenciais e fraudes financeiras.

De acordo com análises conduzidas por especialistas da BlueVoyant, o ataque combina múltiplos vetores, incluindo e-mails de phishing, automação via WhatsApp Web e técnicas de engenharia social como ClickFix. Essa abordagem híbrida permite que os hackers atinjam tanto usuários comuns quanto ambientes corporativos, ampliando significativamente o alcance da campanha.

O ponto de partida do ataque é um e-mail fraudulento que simula uma intimação judicial em espanhol. A mensagem contém um PDF protegido por senha, que induz a vítima a clicar em um link interno. Ao fazer isso, um arquivo compactado é baixado automaticamente, iniciando uma cadeia de infecção que envolve scripts HTA e VBS.

Esses scripts realizam verificações no ambiente da vítima, incluindo detecção de antivírus como Avast, antes de baixar cargas adicionais de servidores remotos. Entre os componentes instalados estão loaders baseados em AutoIt, responsáveis por descriptografar e executar arquivos maliciosos que culminam na instalação do Casbaneiro e do Horabot.

Enquanto o Casbaneiro atua como o principal trojan bancário, focado em roubo de informações financeiras, o Horabot desempenha o papel de propagação. Ele utiliza contas comprometidas do Microsoft Outlook para enviar novos e-mails de phishing, ampliando o alcance da campanha de forma automatizada.

Um dos elementos mais avançados da operação é a geração dinâmica de PDFs personalizados. Em vez de utilizar arquivos estáticos, o malware se comunica com um servidor remoto que cria documentos únicos, protegidos por senha, simulando intimações judiciais. Esses arquivos são enviados diretamente para novos alvos a partir das contas comprometidas, tornando a campanha mais convincente e difícil de detectar.

Além disso, o Horabot também é utilizado para sequestrar contas de e-mail em serviços como Yahoo Mail, Gmail e Outlook.com, permitindo que os hackers expandam ainda mais a campanha. O malware já vem sendo utilizado em ataques na América Latina desde pelo menos 2020, mas agora apresenta um nível mais elevado de sofisticação.

Outro ponto relevante é o uso contínuo do WhatsApp como vetor de infecção, prática já associada ao grupo Water Saci. Em campanhas anteriores, os hackers utilizaram automação para enviar mensagens em massa contendo links maliciosos, comportamento semelhante ao de worms digitais.

A combinação de engenharia social avançada, infraestrutura dinâmica e múltiplos vetores de ataque demonstra a evolução das campanhas de phishing modernas. O uso de PDFs personalizados, automação em plataformas populares e técnicas de evasão reforça o desafio enfrentado por equipes de segurança na detecção e resposta a esse tipo de ameaça.