Grupo hacker brasileiro explora PDFs dinâmicos para espalhar trojan bancário na América Latina e Europa
Uma nova onda de ataques digitais com origem no Brasil está preocupando equipes de segurança em diversos países da América Latina e também na Europa. Um grupo hacker brasileiro, identificado pelos pesquisadores como Augmented Marauder e Water Saci, vem orquestrando uma campanha de phishing altamente sofisticada que utiliza PDFs gerados dinamicamente para disseminar trojans bancários, em especial o Casbaneiro (também chamado de Metamorfo), além do malware Horabot.
Segundo análises técnicas conduzidas por especialistas da BlueVoyant, a operação se destaca por combinar diversos vetores de ataque e camadas de automação. Em vez de depender apenas de e-mails maliciosos tradicionais, os criminosos mesclam mensagens fraudulentas, uso automatizado do WhatsApp Web e técnicas de engenharia social como o método conhecido como ClickFix. Esse modelo híbrido amplia consideravelmente a superfície de ataque, atingindo tanto usuários domésticos quanto redes corporativas.
O ponto inicial do golpe é, em geral, um e-mail em espanhol que simula uma intimação judicial, tentando se passar por uma comunicação oficial. Para reforçar a aparência de legitimidade e urgência, a mensagem inclui um arquivo PDF aparentemente protegido por senha. O documento incentiva a vítima a clicar em um link interno para “visualizar” os detalhes da suposta intimação. Assim que o usuário interage com esse link, é feito automaticamente o download de um arquivo compactado, primeiro passo de uma cadeia de infecção cuidadosamente estruturada.
Dentro desse pacote comprimido, normalmente são encontrados scripts HTA e VBS, que são executados no sistema da vítima. Esses scripts não instalam o trojan imediatamente: antes disso, realizam uma série de verificações no ambiente, buscando, por exemplo, indícios de softwares de segurança como o antivírus Avast ou de máquinas de análise automatizada. Somente se o computador parecer “seguro” para os atacantes – ou seja, sem proteções muito robustas – o malware prossegue para a próxima fase, baixando componentes adicionais de servidores remotos controlados pelo grupo.
Entre as cargas maliciosas obtidas nessa etapa, destacam-se loaders desenvolvidos em AutoIt. Esses módulos têm a função de descriptografar e executar o código nocivo principal, que inclui o trojan bancário Casbaneiro e o malware Horabot. O uso de AutoIt e de camadas de criptografia e ofuscação tornou-se comum em campanhas modernas, justamente para dificultar a detecção por soluções de segurança e atrasar a análise por parte de especialistas.
O Casbaneiro atua como peça central dessa operação criminosa. Ele é especializado no roubo de informações financeiras, com foco em credenciais bancárias, dados de acesso a serviços de internet banking, tokens, além de outras informações confidenciais que possam ser monetizadas. O trojan costuma monitorar o comportamento do usuário, interceptar tráfego, exibir janelas falsas de login e até manipular telas de bancos para capturar senhas e códigos de autenticação. Em muitos casos, o Casbaneiro permanece escondido por longos períodos, aguardando o momento em que o usuário acessa um serviço financeiro para então agir.
Já o Horabot desempenha um papel complementar, porém igualmente estratégico: ele funciona como um motor de propagação e ampliação da campanha maliciosa. Uma vez instalado, o malware vasculha a máquina em busca de contas de e-mail configuradas, principalmente no Microsoft Outlook. Com essas credenciais em mãos, passa a enviar novos e-mails de phishing, repletos de anexos ou links maliciosos, para os contatos armazenados na agenda da vítima. Desse modo, a campanha se expande de forma automática, muitas vezes aproveitando relações de confiança já estabelecidas entre remetente e destinatário.
Um dos elementos mais avançados e preocupantes observados nessa campanha é o uso de PDFs gerados dinamicamente e personalizados para cada alvo. Em vez de distribuir um único arquivo estático para milhares de vítimas, o malware se conecta a um servidor remoto que cria, sob demanda, documentos únicos protegidos por senha. Esses PDFs simulam com grande realismo intimações judiciais, documentos de processos, notificações de órgãos públicos ou avisos de cobrança. Como são gerados de forma individual, com variação de conteúdo, nomes ou datas, tornam-se mais difíceis de identificar por filtros de segurança automatizados baseados em assinaturas.
Esses documentos personalizados são então enviados diretamente a novos alvos a partir das contas de e-mail comprometidas, o que aumenta a credibilidade do golpe. Receber um PDF supostamente encaminhado por um contato conhecido, com conteúdo “confidencial” e protegido por senha, cria uma forte pressão psicológica para que o destinatário abra o arquivo. Essa combinação de customização, uso de contas legítimas e narrativa jurídica ou financeira torna a campanha notavelmente eficiente.
O Horabot também é aproveitado para sequestrar credenciais de serviços de e-mail baseados na nuvem, como Yahoo Mail, Gmail e Outlook.com. Ao comprometer essas contas, os criminosos ganham a possibilidade de expandir a operação para além das máquinas infectadas localmente, alcançando uma base ainda maior de vítimas potenciais. Essa capacidade de se mover entre ambientes pessoais e corporativos, entre clientes de e-mail instalados e serviços web, é um dos motivos pelos quais essa família de malwares vem sendo observada em atividade desde pelo menos 2020, agora com um grau de sofisticação superior.
Outro aspecto que chama a atenção é a continuidade do uso do WhatsApp como vetor de disseminação, uma marca registrada do grupo Water Saci em campanhas anteriores. Os operadores automatizam o envio de mensagens em massa, frequentemente com textos alarmistas, links encurtados ou supostos documentos importantes. O comportamento se assemelha ao de um “worm” digital: uma vez que parte dos contatos é comprometida, essas pessoas passam a reenviar, conscientemente ou não, conteúdos maliciosos, ajudando na expansão do ataque.
Essa convergência de engenharia social avançada, infraestrutura dinâmica e múltiplos vetores de ataque evidencia como as campanhas de phishing atuais evoluíram em relação aos golpes simples de anos atrás. PDFs personalizados, automação em plataformas populares e técnicas de evasão de antivírus criam um cenário em que a detecção se torna mais complexa, exigindo das equipes de segurança monitoramento constante, inteligência de ameaças atualizada e respostas rápidas a incidentes.
Para usuários finais, o impacto pode ser devastador. O roubo de credenciais bancárias frequentemente resulta em movimentações financeiras não autorizadas, fraudes em cartões, contratação de empréstimos em nome da vítima e até abertura de contas em outros bancos para lavar dinheiro. Como muitos desses ataques exploram engano psicológico e documentos aparentemente legítimos, não é raro que a pessoa só perceba o problema quando já sofreu prejuízos significativos.
Nas empresas, especialmente em organizações com presença em vários países da América Latina e da Europa, as consequências vão além do dano financeiro imediato. O comprometimento de contas corporativas de e-mail pode expor dados sensíveis, segredos comerciais e informações de clientes. Além disso, a distribuição de PDFs maliciosos a partir de domínios e contas legítimas de uma empresa pode afetar sua reputação, gerar perda de confiança de parceiros e acarretar responsabilidades legais em casos de vazamento.
Diante desse cenário, algumas boas práticas tornam-se essenciais. Em primeiro lugar, é fundamental reforçar a conscientização dos colaboradores sobre golpes que usam narrativas de processos judiciais, cobranças urgentes ou documentos confidenciais. E-mails em espanhol simulando intimações, especialmente quando envolvem anexos protegidos por senha ou exigem o download de arquivos compactados, devem ser encarados com desconfiança redobrada, principalmente em empresas que não atuam com esse tipo de procedimento internacional.
Do ponto de vista técnico, soluções de segurança que combinam análise comportamental, sandboxing de anexos e detecção de anomalias em tráfego de e-mail ajudam a identificar PDFs dinâmicos e cargas suspeitas antes que cheguem ao usuário final. Monitorar o uso anormal de contas de e-mail – como picos de envio de mensagens, volume de anexos incomuns ou tentativas de login a partir de países inesperados – também pode indicar a ação de malwares como o Horabot.
Outra recomendação importante é adotar autenticação multifator em serviços de e-mail e plataformas críticas, incluindo contas de webmail e ferramentas colaborativas. Mesmo que o malware consiga capturar usuário e senha, a presença de uma segunda etapa de autenticação (como aplicativo de verificação ou token físico) pode impedir o sequestro da conta. Da mesma forma, a segmentação de redes e a aplicação rigorosa do princípio do menor privilégio reduzem o potencial de movimentação lateral dentro de ambientes corporativos.
Organizações que operam em diversos países, especialmente na América Latina, devem considerar campanhas de treinamento específicas sobre golpes regionais, usando exemplos em espanhol e português, para refletir melhor o contexto real das ameaças. Simulações periódicas de phishing ajudam a medir o nível de exposição da empresa e a corrigir comportamentos de risco antes que um ataque verdadeiro ocorra.
Por fim, a campanha atribuída ao grupo Augmented Marauder e Water Saci ilustra um ponto-chave da cibersegurança moderna: grupos criminosos locais, como esse originado no Brasil, já não se limitam a alvos domésticos e nem a ferramentas rudimentares. Eles constroem infraestruturas complexas, utilizam automação avançada, exploram plataformas de comunicação amplamente usadas e desenvolvem técnicas de evasão que rivalizam com operações de crime cibernético internacional de grande porte. Entender essa evolução e adaptar defesas a essa nova realidade é indispensável para reduzir o impacto de trojans bancários e campanhas de phishing cada vez mais sofisticadas.