Испаноязычные пользователи и компании в Латинской Америке и Европе оказались под прицелом масштабной фишинговой кампании, за которой стоит бразильская киберпреступная группировка, известная под именами Augmented Marauder и Water Saci. Отчёт, опубликованный во вторник компанией BlueVoyant, подготовили исследователи Томас Элкинс и Джошуа Грин. Они детально описали многоступенчатую схему заражения, которая использует защищённые паролем PDF-документы, автоматизацию через WhatsApp и технику ClickFix для доставки банковских троянов на Windows.
Группировка была впервые задокументирована специалистами Trend Micro в октябре 2025 года, хотя её инструменты фиксировались и раньше. Horabot, один из ключевых компонентов атакующей инфраструктуры, применяется в атаках на Латинскую Америку как минимум с ноября 2020 года. Основной арсенал включает три семейства вредоносного ПО: банковский троян Casbaneiro (он же М⃰morfo), инструмент распространения и перехвата аккаунтов Horabot, а также троян Maverick, задействованный в параллельных цепочках атак.
Атака начинается банально — с письма. Жертва получает фишинговое сообщение, оформленное под повестку в суд. К письму прикреплён PDF-файл, защищённый паролем. Внутри документа спрятана ссылка, клик по которой приводит к автоматическому скачиванию ZIP-архива. Архив содержит промежуточные компоненты — файлы HTA и VBS-скрипты.
VBS-скрипт после запуска проводит проверку окружения. В частности, он сканирует систему на наличие антивируса Avast. Если среда признаётся пригодной для работы, скрипт связывается с удалённым сервером и загружает AutoIt-загрузчики. Те, в свою очередь, извлекают и запускают зашифрованные файлы с расширениями.ia . Результат — активация двух DLL-модулей: staticdata.dll (это сам Casbaneiro) и at.dll (Horabot).
Дальше начинается самое неприятное. Casbaneiro устанавливает связь с командным сервером и получает PowerShell-скрипт. Horabot тем временем собирает контакты из Microsoft Outlook на заражённой машине. PowerShell-скрипт отправляет HTTP POST-запрос к удалённому PHP-интерфейсу по адресу [.]com/.../gera_pdf.php, передавая случайно сгенерированный четырёхзначный PIN-код. Сервер в ответ генерирует новый уникальный PDF, стилизованный под испанскую судебную повестку, с этим PIN в качестве пароля.
Horabot затем перебирает отфильтрованный список контактов и рассылает фишинговые письма с этим свежесгенерированным PDF уже от имени самой жертвы, через её скомпрометированный почтовый ящик. Каждое письмо выглядит для получателя вполне достоверно — оно пришло от знакомого адресата. Модуль at.dll работает отдельно как спам-угонщик, нацеленный на аккаунты Yahoo, Live и Gmail, рассылая фишинг через Outlook.
Помимо почтового вектора, группировка Water Saci активно использует WhatsApp. Через WhatsApp Web трояны Maverick и Casbaneiro распространяются по принципу червя среди розничных и рядовых пользователей, преимущественно в Латинской Америке. Это отдельное направление атак, работающее параллельно с почтовым каналом.
Специалисты «Лаборатории Касперского» отдельно отмечают применение техники ClickFix — разновидности социальной инженерии, при которой пользователя обманом заставляют самостоятельно запустить вредоносный HTA-файл. Этот метод используется для развёртывания Casbaneiro и распространителя Horabot. Как указали Элкинс и Грин, сочетание ClickFix, динамической генерации PDF и автоматизации WhatsApp говорит о том, что противник действует гибко и постоянно адаптирует свой арсенал.
Инфраструктура атак намеренно разветвлена. Одна ветка нацелена на корпоративных пользователей через перехват электронной почты и ClickFix-механизмы с Horabot. Другая бьёт по обычным потребителям через WhatsApp с помощью трояна Maverick. Жертвами в Европе и Латинской Америке становятся как организации, так и частные лица. Исследователи подчёркивают, что именно такая раздвоенная архитектура позволяет группировке обходить современные средства защиты, одновременно эксплуатируя несколько путей заражения.
Файлы, задействованные в кампании, используют широкий набор форматов: PDF, ZIP, HTA, VBS, AutoIt-загрузчики, а также DLL-библиотеки и файлы с нестандартными расширениями.ia . Этот разброс типов затрудняет детектирование на уровне почтовых шлюзов и конечных точек. Группировка прицельно работает с популярными почтовыми сервисами и программами, включая Outlook, Yahoo, Live и Gmail, что расширяет охват потенциальных жертв до огромных масштабов.
Изображение носит иллюстративный характер
Группировка была впервые задокументирована специалистами Trend Micro в октябре 2025 года, хотя её инструменты фиксировались и раньше. Horabot, один из ключевых компонентов атакующей инфраструктуры, применяется в атаках на Латинскую Америку как минимум с ноября 2020 года. Основной арсенал включает три семейства вредоносного ПО: банковский троян Casbaneiro (он же М⃰morfo), инструмент распространения и перехвата аккаунтов Horabot, а также троян Maverick, задействованный в параллельных цепочках атак.
Атака начинается банально — с письма. Жертва получает фишинговое сообщение, оформленное под повестку в суд. К письму прикреплён PDF-файл, защищённый паролем. Внутри документа спрятана ссылка, клик по которой приводит к автоматическому скачиванию ZIP-архива. Архив содержит промежуточные компоненты — файлы HTA и VBS-скрипты.
VBS-скрипт после запуска проводит проверку окружения. В частности, он сканирует систему на наличие антивируса Avast. Если среда признаётся пригодной для работы, скрипт связывается с удалённым сервером и загружает AutoIt-загрузчики. Те, в свою очередь, извлекают и запускают зашифрованные файлы с расширениями.ia . Результат — активация двух DLL-модулей: staticdata.dll (это сам Casbaneiro) и at.dll (Horabot).
Дальше начинается самое неприятное. Casbaneiro устанавливает связь с командным сервером и получает PowerShell-скрипт. Horabot тем временем собирает контакты из Microsoft Outlook на заражённой машине. PowerShell-скрипт отправляет HTTP POST-запрос к удалённому PHP-интерфейсу по адресу [.]com/.../gera_pdf.php, передавая случайно сгенерированный четырёхзначный PIN-код. Сервер в ответ генерирует новый уникальный PDF, стилизованный под испанскую судебную повестку, с этим PIN в качестве пароля.
Horabot затем перебирает отфильтрованный список контактов и рассылает фишинговые письма с этим свежесгенерированным PDF уже от имени самой жертвы, через её скомпрометированный почтовый ящик. Каждое письмо выглядит для получателя вполне достоверно — оно пришло от знакомого адресата. Модуль at.dll работает отдельно как спам-угонщик, нацеленный на аккаунты Yahoo, Live и Gmail, рассылая фишинг через Outlook.
Помимо почтового вектора, группировка Water Saci активно использует WhatsApp. Через WhatsApp Web трояны Maverick и Casbaneiro распространяются по принципу червя среди розничных и рядовых пользователей, преимущественно в Латинской Америке. Это отдельное направление атак, работающее параллельно с почтовым каналом.
Специалисты «Лаборатории Касперского» отдельно отмечают применение техники ClickFix — разновидности социальной инженерии, при которой пользователя обманом заставляют самостоятельно запустить вредоносный HTA-файл. Этот метод используется для развёртывания Casbaneiro и распространителя Horabot. Как указали Элкинс и Грин, сочетание ClickFix, динамической генерации PDF и автоматизации WhatsApp говорит о том, что противник действует гибко и постоянно адаптирует свой арсенал.
Инфраструктура атак намеренно разветвлена. Одна ветка нацелена на корпоративных пользователей через перехват электронной почты и ClickFix-механизмы с Horabot. Другая бьёт по обычным потребителям через WhatsApp с помощью трояна Maverick. Жертвами в Европе и Латинской Америке становятся как организации, так и частные лица. Исследователи подчёркивают, что именно такая раздвоенная архитектура позволяет группировке обходить современные средства защиты, одновременно эксплуатируя несколько путей заражения.
Файлы, задействованные в кампании, используют широкий набор форматов: PDF, ZIP, HTA, VBS, AutoIt-загрузчики, а также DLL-библиотеки и файлы с нестандартными расширениями.ia . Этот разброс типов затрудняет детектирование на уровне почтовых шлюзов и конечных точек. Группировка прицельно работает с популярными почтовыми сервисами и программами, включая Outlook, Yahoo, Live и Gmail, что расширяет охват потенциальных жертв до огромных масштабов.
