Hackers brasileiros usam PDFs dinâmicos para espalhar trojan bancário em países da América Latina e da Europa
Uma operação criminosa altamente articulada, conduzida por um grupo hacker brasileiro conhecido como Augmented Marauder e Water Saci, está explorando PDFs dinâmicos para distribuir trojans bancários em diversos países da América Latina e da Europa. A campanha tem como principais protagonistas os malwares Casbaneiro (também chamado de Metamorfo) e Horabot, ambos focados em fraudes financeiras e roubo de credenciais.
Em vez de ataques simples de phishing, os criminosos estruturaram uma cadeia de infecção complexa, que envolve múltiplos vetores: e-mails maliciosos, automação via WhatsApp Web, sequestro de contas de e‑mail e técnicas sofisticadas de engenharia social, como o método conhecido como ClickFix. Com isso, conseguem atingir simultaneamente usuários domésticos e ambientes corporativos, ampliando o impacto da campanha.
Como começa o ataque: a falsa intimação judicial
O ponto inicial da maioria das infecções é um e-mail cuidadosamente elaborado em espanhol, que imita uma intimação judicial ou notificação oficial. Esse tipo de conteúdo explora o medo e a urgência da vítima, aumentando as chances de ela abrir o anexo sem questionar a legitimidade da mensagem.
No corpo do e-mail, há um arquivo PDF protegido por senha, o que passa uma falsa sensação de segurança e confidencialidade. O documento instrui o destinatário a clicar em um link interno para visualizar detalhes da suposta intimação. Ao seguir essa orientação, o usuário dispara o download automático de um arquivo compactado, que dá início à cadeia de infecção no dispositivo.
Scripts HTA e VBS: a porta de entrada para o trojan bancário
Dentro do arquivo compactado, os criminosos incluem scripts em formatos como HTA e VBS. Esses componentes são responsáveis por executar uma série de ações sem que a vítima perceba, incluindo:
– Análise básica do ambiente da máquina infectada
– Verificação da presença de soluções de segurança, como o antivírus Avast
– Comunicação com servidores remotos controlados pelos hackers
Se as verificações indicam que o ambiente é “favorável” para continuar a infecção – por exemplo, ausência de certos antivírus ou soluções de monitoramento – os scripts fazem o download de cargas adicionais. Nessa fase entram em cena loaders escritos em AutoIt, uma linguagem frequentemente usada para automação no Windows, mas que vem sendo explorada para fins maliciosos.
Esses loaders têm a função de descriptografar e executar os arquivos maliciosos finais, que incluem principalmente o trojan bancário Casbaneiro e o malware Horabot.
Casbaneiro: o coração da fraude bancária
O Casbaneiro é o componente central da operação quando o assunto é roubo financeiro. Uma vez instalado, ele passa a monitorar o uso do computador da vítima, com foco especial em atividades relacionadas a:
– Acesso a contas bancárias via internet banking
– Login em serviços financeiros e carteiras digitais
– Digitação de credenciais, como logins e senhas
Em muitos casos, o trojan é capaz de:
– Capturar dados digitados no teclado (keylogging)
– Gravar telas ou tirar capturas de tela em momentos específicos, como durante operações bancárias
– Interceptar e modificar o conteúdo exibido pelo navegador, induzindo o usuário a realizar movimentos que favoreçam o roubo de dinheiro
Com essas informações em mãos, os criminosos podem realizar transferências não autorizadas, cadastrar dispositivos, alterar limites e executar outras transações fraudulentas em nome da vítima.
Horabot: o motor de propagação da campanha
Enquanto o Casbaneiro é voltado ao roubo de dados e dinheiro, o Horabot cumpre o papel de espalhar a campanha de forma agressiva. Uma das principais funções do Horabot é o abuso de contas de e-mail comprometidas para enviar novas mensagens de phishing.
O malware se integra a clientes de e-mail populares, como o Microsoft Outlook, e utiliza as contas já acessíveis na máquina infectada para disparar novas ondas de mensagens maliciosas. Como essas mensagens são enviadas a partir de endereços legítimos – de pessoas ou empresas conhecidas pelos destinatários – a taxa de sucesso do phishing aumenta consideravelmente.
Além disso, o Horabot é capaz de sequestrar credenciais de serviços de e-mail baseados na nuvem, como:
– Yahoo Mail
– Gmail
– Outlook.com
Dessa forma, os criminosos conseguem ampliar ainda mais o alcance da campanha, distribuindo PDFs maliciosos a partir de múltiplas contas reais, muitas vezes sem que os próprios donos percebam de imediato.
PDFs dinâmicos: a peça-chave da engenharia social
Um dos recursos mais sofisticados dessa operação é a geração dinâmica de PDFs personalizados. Em vez de reaproveitar um único modelo de arquivo, os hackers utilizam um servidor remoto para criar, sob demanda, documentos únicos, cada um protegido por senha e adaptado ao alvo.
Esses PDFs:
– Simulam intimações judiciais ou comunicações oficiais
– Trazem detalhes que aumentam a credibilidade do conteúdo
– São vinculados à conta de e-mail comprometida que os envia, gerando aparência de legitimidade
Esse caráter dinâmico torna o trabalho de detecção muito mais difícil para soluções de segurança baseadas em assinaturas, já que cada arquivo tende a ser levemente diferente do outro. Ao mesmo tempo, o uso de senhas impede que alguns sistemas automatizados façam análise completa do conteúdo do PDF.
WhatsApp como vetor de ataque: automação e efeito “ver de amigo”
Além dos e-mails de phishing, o grupo Water Saci mantém o uso estratégico do WhatsApp como vetor de infecção, técnica observada em campanhas anteriores. Utilizando automação via WhatsApp Web, os criminosos conseguem enviar em massa mensagens contendo:
– Links para arquivos maliciosos
– Supostos documentos importantes
– Falsas notificações de cobrança, agendamentos ou intimações
Esse tipo de abordagem se beneficia do chamado “efeito confiança”: mensagens recebidas via WhatsApp, principalmente se enviadas de números conhecidos ou de grupos onde a vítima participa, tendem a ser menos questionadas. Em muitas campanhas anteriores, esse modo de atuação já se comportou quase como um worm digital, com o malware se espalhando em cascata pelos contatos das vítimas.
Evolução e maturidade das campanhas de phishing
Os ataques associados ao Horabot já vêm sendo observados na América Latina desde, pelo menos, 2020. O que chama atenção agora é o grau de refinamento: integração de múltiplos vetores, PDFs dinâmicos, automação de mensagens e capacidade de evasão frente às ferramentas de segurança.
O cenário revela um amadurecimento das operações de cibercrime na região. Em vez de campanhas amadoras e facilmente detectáveis, surgem estruturas complexas, que se assemelham a verdadeiras “empresas do crime”, com divisão de funções, uso de ferramentas especializadas e testes contínuos para burlar defesas.
Para organizações e usuários domésticos na América Latina e na Europa, isso significa um aumento significativo do risco, especialmente para setores que lidam com grandes volumes de transações financeiras – como bancos, fintechs, escritórios de advocacia, contabilidade e empresas de comércio eletrônico.
Por que esses golpes funcionam tão bem?
Alguns fatores explicam a eficiência desse tipo de campanha:
1. Uso de temas sensíveis
Intimações judiciais, cobranças e comunicados oficiais despertam medo e urgência, levando as pessoas a agir sem refletir.
2. Combinação de canais (e-mail + WhatsApp)
Quando um mesmo golpe aparece por mais de um canal, a percepção de legitimidade aumenta.
3. Arquivos com senha
PDFs protegidos passam impressão de segurança e confidencialidade, e ainda dificultam a análise por ferramentas automáticas.
4. Aproveitamento de contas reais comprometidas
Mensagens vindas de endereços ou números de contatos conhecidos são menos questionadas.
5. Sofisticação técnica para fugir de antivírus
O uso de scripts, loaders em AutoIt e geração dinâmica de arquivos diminui a taxa de detecção por soluções tradicionais, principalmente quando mal configuradas ou desatualizadas.
Como empresas podem se proteger dessa campanha
Para organizações, especialmente aquelas com exposição internacional, algumas medidas são essenciais para mitigar o risco:
– Treinamento contínuo de usuários
Campanhas de conscientização sobre phishing, com exemplos reais de intimações falsas, PDFs com senha e mensagens de WhatsApp suspeitas.
– Políticas rígidas para abertura de anexos
Orientar funcionários a sempre verificar a procedência de PDFs protegidos, principalmente os que envolvem temas jurídicos ou financeiros.
– Filtragem avançada de e-mail
Uso de soluções que analisem comportamento e reputação dos remetentes, não apenas anexos e links.
– Monitoramento de comportamento em estações de trabalho
Ferramentas de detecção e resposta (EDR) que consigam identificar execução suspeita de scripts HTA, VBS e AutoIt.
– Bloqueio de macros e scripts desnecessários
Reduzir a superfície de ataque desativando funções raramente usadas no ambiente corporativo.
– Políticas claras para uso de WhatsApp Web em ambiente corporativo
Limitar ou monitorar o uso em máquinas que também acessam aplicações críticas ou dados sensíveis.
Recomendações para usuários comuns
Usuários domésticos também podem adotar práticas simples, mas eficazes, para reduzir o risco de infecção por trojans bancários como Casbaneiro e Horabot:
– Desconfiar de qualquer e-mail que mencione intimações, processos ou dívidas inesperadas, sobretudo se vier em outro idioma.
– Evitar clicar em links dentro de PDFs, principalmente em documentos protegidos por senha cuja origem não seja absolutamente confiável.
– Nunca instalar programas adicionais solicitados por supostos órgãos oficiais ou bancos para “visualizar documentos” ou “atualizar segurança”.
– Manter o sistema operacional e o antivírus sempre atualizados e configurados para verificar automaticamente downloads e anexos.
– Confirmar por outro canal (telefone oficial, aplicativo do banco, contato direto com o advogado ou instituição) qualquer comunicado sensível recebido por e-mail ou WhatsApp.
– Desconfiar de mensagens com tom ameaçador ou excessivamente urgente, que pressionam para uma ação imediata.
O que esse caso revela sobre o futuro das ameaças digitais
A campanha atribuída ao grupo Augmented Marauder e Water Saci mostra que o cibercrime na América Latina já opera em um patamar avançado, combinando:
– Engenharia social bem planejada
– Infraestrutura dinâmica para geração de arquivos
– Automação em múltiplas plataformas
– Técnicas de evasão e persistência
Tendências como o uso de documentos dinâmicos, sequestro de contas legítimas e integração entre diferentes canais de comunicação devem se intensificar nos próximos anos. Isso exige que empresas e usuários deixem de enxergar phishing como algo “simples” e passem a tratá-lo como uma ameaça complexa, que envolve tecnologia, comportamento humano e processos internos.
Fortalecer a cultura de segurança, investir em ferramentas modernas de detecção e resposta, e adotar uma postura desconfiada em relação a mensagens inesperadas são passos fundamentais para reduzir o espaço de atuação de campanhas como essa, que já cruzaram fronteiras e impactam, ao mesmo tempo, América Latina e Europa.