Сложная и многогранная фишинг-кампания активно нацелена на испаноязычных пользователей в корпоративной среде по всей Латинской Америке и Европе. Конечная цель кампании — внедрение банковского трояна Casbaneiro, также известного как Metamorfo, на системы жертв. Исследователи кибербезопасности выявили сложную цепочку заражения, в которой первоначальные фишинговые письма доставляют вредоносный документ Microsoft Word. Этот документ, в свою очередь, загружает вторичную полезную нагрузку: загрузчик для другого вредоносного ПО под названием Horabot. Именно этот вредонос Horabot выступает в качестве конечного механизма доставки банковского трояна Casbaneiro, создавая многоуровневую и скрытную стратегию атаки, предназначенную для обхода традиционных средств защиты.
Кампания использует высокоубедительные фишинговые приманки, в основном в виде динамических PDF-вложений. Эти PDF-файлы созданы так, чтобы выглядеть как легитимные уведомления от крупных финансовых учреждений, логистических компаний или государственных налоговых органов, все они написаны на грамотном испанском языке. Ключевой технической особенностью этой операции является использование геофильтрации. Вредоносная инфраструктура проверяет IP-адрес получателя. Если соединение поступает из-за пределов целевых стран кампании — к которым относятся Мексика, Испания, Перу и Португалия — PDF-файл либо отображает сообщение об ошибке, либо безвредный контент, эффективно скрывая вредоносную полезную нагрузку от исследователей безопасности и нетargeted регионов. Эта техника повышает скрытность и долговечность кампании.
Эта вредоносная активность была приписана компанией кибербезопасности Trend Micro финансово мотивированной бразильской киберпреступной группе, отслеживаемой под псевдонимами **Augmented Marauder** и **Water Saci**. Группа была впервые задокументирована Trend Micro в 2022 году и имеет известную историю нацеливания на финансовые учреждения Латинской Америки. Их инструменты, включая Casbaneiro, специально разработаны для кражи учетных данных для онлайн-банкинга и облегчения мошеннических транзакций. Троянец использует сложные техники веб-инъекций для изменения содержимого легитимных банковских сайтов в реальном времени, обманывая пользователей и заставляя их вводить конфиденциальную информацию непосредственно в контролируемый злоумышленником интерфейс.
Сочетание геотаргетинга, многоэтапной доставки полезной нагрузки и использование Horabot в качестве промежуточного загрузчика представляет собой значительную эскалацию в тактике этой группы угроз. Организациям, особенно тем, которые работают в испано- и португалоязычных регионах, настоятельно рекомендуется усилить обучение пользователей по вопросам фишинговых атак, особенно тех, которые связаны с вложениями в виде PDF- и Word-документов. Командам безопасности следует внедрить расширенную фильтрацию электронной почты, отслеживать сетевой трафик на подозрительные домены, связанные с новыми загрузчиками вредоносного ПО, и обеспечить обновление систем обнаружения на конечных точках для распознавания сигнатур и поведения как Horabot, так и банковского трояна Casbaneiro.
