تستهدف حملة تصيد احتيالية متعددة الجوانب ومتطورة المستخدمين الناطقين باللغة الإسبانية داخل البيئات المؤسسية عبر أمريكا اللاتينية وأوروبا. الهدف النهائي للحملة هو نشر تروجان كاسبانييرو المصرفي، المعروف أيضاً باسم ميتامورفو، على أنظمة الضحايا. حدد الباحثون الأمنيون سلسلة إصابة معقدة حيث تقوم رسائل البريد الإلكتروني التصيدية الأولية بتسليم مستند Microsoft Word خبيث. يقوم هذا المستند بدوره بتنزيل حمولة ثانوية: وهي محمِّل لبرنامج ضار آخر يُدعى هورابوت. إن برنامج هورابوت الضار هذا هو الذي يعمل كآلية التسليم النهائية لتروجان كاسبانييرو المصرفي، مما يخلق استراتيجية هجوم متعددة الطبقات ومتجنبة مصممة لتجاوز دفاعات الأمان التقليدية.
تعتمد الحملة على طعوم تصيد مقنعة للغاية، تستخدم في المقام الأول مرفقات PDF ديناميكية. تم تصميم ملفات PDF هذه لتظهر كإشعارات شرعية من مؤسسات مالية كبرى أو شركات شحن أو سلطات ضريبية حكومية، جميعها مكتوبة بإسبانية سليمة. السمة الفنية الرئيسية لهذه العملية هي استخدام تصفية الموقع الجغرافي. حيث تتحقق البنية التحتية الخبيثة من عنوان IP للمستلم. إذا جاء الاتصال من خارج الدول المستهدفة في الحملة - والتي تشمل المكسيك وإسبانيا وبيرو والبرتغال - فإن ملف PDF إما يعرض رسالة خطأ أو محتوى غير ضار، مما يخفي الحمولة الخبيثة بشكل فعال عن الباحثين الأمني والمناطق غير المستهدفة. تحسن هذه التقنية من التخفي وعمر الحملة.
تم نسب هذا النشاط الخبيث من قبل شركة الأمن السيبراني ت rend ميكرو إلى جهة تهديد إجرامية برازيلية ذات دوافع مالية، تُتعقب تحت الأسماء المستعارة **Augmented Marauder** و **Water Saci**. تم توثيق هذه المجموعة لأول مرة من قبل ت rend ميكرو في عام 2022 ولها تاريخ معروف في استهداف المؤسسات المالية في أمريكا اللاتينية. تم تصميم أدواتها، بما في ذلك كاسبانييرو، خصيصاً لسرقة بيانات اعتماد الخدمات المصرفية عبر الإنترنت وتسهيل المعاملات الاحتيالية. يستخدم التروجان تقنيات حقن ويب متطورة لتعديل محتوى مواقع البنوك الشرعية في الوقت الفعلي، مما يخدع المستخدمين لإدخال المعلومات الحساسة مباشرة في الواجهة التي يتحكم فيها المهاجم.
يمثل الجمع بين الاستهداف الجغرافي، والتسليم متعدد المراحل للحُمولة، واستخدام هورابوت كمحمل وسيط تصعيداً كبيراً في تكتيكات مجموعة التهديد هذه. يُحث المنظمات، وخاصة تلك التي تعمل في المناطق الناطقة بالإسبانية والبرتغالية، على تعزيز تدريب توعية المستخدمين فيما يتعلق بمحاولات التصيد، وخاصة تلك التي تتضمن مرفقات ملفات PDF ومستندات Word. يجب على فرق الأمن تنفيذ تصفية متقدمة للبريد الإلكتروني، ومراقبة حركة مرور الشبكة للوصول إلى النطاقات المشبوهة المرتبطة بمحملات البرامج الضارة الجديدة، وضمان تحديث أنظمة كشف نقاط النهاية للتعرف على تواقيع وسلوكيات كل من هورابوت وتروجان كاسبانييرو المصرفي.
