sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Falhas no AirDrop e no Quick Share deixam celulares expostos a ataques
1 de julho de 2026
App da Samsung vaza visual e informações do Galaxy Glasses
1 de julho de 2026
PS Plus Essential de julho terá Call of Duty e mais games! Confira a lista completa
1 de julho de 2026
Brasil inicia preparação para oitavas da Copa contra Noruega
1 de julho de 2026
quarta-feira, julho 1, 2026
Top Posts
Falhas no AirDrop e no Quick Share deixam...
App da Samsung vaza visual e informações do...
PS Plus Essential de julho terá Call of...
Brasil inicia preparação para oitavas da Copa contra...
Qualcomm marca data para revelar o Snapdragon 8...
Pedidos de refúgio em Campinas quase igualam total...
Volkswagen avalia fabricar carros chineses em fábricas da...
Rhythm Heaven Groove coroa a trajetória lendária do...
Vint Cerf, um dos ‘pais’ da internet moderna,...
A Odisseia ganha trailer grandioso que inicia contagem...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Falhas no AirDrop e no Quick Share deixam celulares expostos a ataques
1 de julho de 2026
App da Samsung vaza visual e informações do Galaxy Glasses
1 de julho de 2026
PS Plus Essential de julho terá Call of Duty e mais games! Confira a lista completa
1 de julho de 2026
Brasil inicia preparação para oitavas da Copa contra Noruega
1 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Falhas no AirDrop e no Quick Share deixam celulares expostos a ataques
1 de julho de 2026
App da Samsung vaza visual e informações do Galaxy Glasses
1 de julho de 2026
PS Plus Essential de julho terá Call of Duty e mais games! Confira a lista completa
1 de julho de 2026
Brasil inicia preparação para oitavas da Copa contra Noruega
1 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Vírus brasileiro ataca bancos na América Latina e Europa

por SampaNews 1 de abril de 2026
1 de abril de 2026
34

Uma campanha de phishing, focada em usuários da América Latina e Europa, está distribuindo trojans bancários para Windows. Conhecido como Casbaneiro ou Metamortmo, esse malware se disfarça para roubar dados financeiros das vítimas, e ele se espalha por meio de outro malware, o Horabot.

A atividade foi atribuída a um grupo cibercriminoso brasileiro rastreado como Augmented Marauder e Water Saci. O coletivo foi documentado pela primeira vez pela Trend Micro em outubro de 2025, quando conduziu uma campanha focada no WhatsApp, também com o objetivo de roubar informações bancárias.

smart_display

Nossos vídeos em destaque

O que é o Casbaneiro e como ele funciona

De acordo com a empresa de cibersegurança BlueVoyant, o grupo emprega um modelo de ataque mais abrangente. O foco está em mecanismos personalizados de entrega e propagação que inclui o WhatsApp, técnicas do ClickFix e phishing centrado em e-mail.

A companhia também afirma que está evidente que, esses operadores baseados no Brasil usam a automação do WhatsApp baseada em scripts para comprometer usuários de varejo e consumidores na América Latina. 

Documento PDF gerado dinamicamente pelo servidor dos criminosos, simulando uma notificação oficial da Administração de Justiça da Espanha, com dados de procedimento, prazo de comparecimento e um botão malicioso para acessar o suposto expediente. Imagem: BlueVoyant.

No entanto, eles mantêm e implantam simultaneamente um mecanismo avançado de sequestro de e-mails. O objetivo é roubar dados corporativos tanto na América Latina quanto na Europa.

Como o ataque chega até a vítima

Nesta campanha tudo começa com um e-mail de phishing, focado em pessoas que falam espanhol, que utiliza mensagens que imitam intimações judiciais. A ideia é induzir os destinatários a abrir um anexo PDF protegido por senha. Ao clicar em um link incorporado no documento, a vítima é direcionada a um link malicioso.

Casbaneiro.png
Exemplo de e-mail utilizado na campanha, enviado em espanhol com o assunto “Citación judicial pendiente”, acompanhado de um anexo em PDF e uma senha fornecida no corpo da mensagem para induzir a vítima a abrir o arquivo malicioso. Imagem: BlueVoyant.

A partir disso, a vítima inicia o download automático de um arquivo ZIP, o que leva à execução de cargas de HTML Application (HTA) e VBS. Essas cargas são tecnologias da Microsoft usadas para criar interfaces gráficas de usuário (GUI) e automatizar tarefas no Windows.

Elas são interessantes para os criminosos porque operam com privilégios elevados, o que significa que, quando executados, têm acesso quase total aos recursos do sistema do usuário, semelhante a um administrador.

O script VBS foi projetado para realizar verificações de ambiente e anti-análise semelhantes às encontradas nos artefatos do Horabot. O que inclui verificações do software antivírus Avast, e prossegue para recuperar cargas úteis da fase seguinte de um servidor remoto.

Casbaneiro (2).png
Trecho do script VBS recuperado de um servidor remoto, exibindo a função de decodificação utilizada pelo malware para ofuscar comandos e dificultar a análise por ferramentas de segurança. Imagem: BlueVoyant.

O papel do Horabot na propagação do malware

Entre os arquivos baixados estão carregadores baseados em AutoIt, cada um extrai e executa arquivos de carga útil criptografados com extensões “.ia” ou “.at”. Assim é possível lançar duas famílias de malware, o Casbaneiro (“staticdata.dll”) e Horabot (“at.dll”).

O Casbaneiro é a carga principal e o Horabot é usado como mecanismo de propagação do malware. O módulo DLL em Delphi do Casbaneiro entra em contato com um servidor de comando e controle (C2) para buscar um script PowerShell. O script é uma ferramenta de automação composta por sequências de comandos, variáveis e funções, armazenadas em arquivos.

A partir dessa ferramenta é entregue a extensão que emprega o Horabot para distribuir o malware por meio de e-mails de phishing para contatos coletados do Microsoft Outlook.

Casbaneiro (3).png
Lista de arquivos identificados durante a análise do ataque, incluindo executáveis AutoIt renomeados, arquivos criptografados com extensões “.ia” e “.at”, e scripts AutoIt descompilados, todos localizados no diretório público do sistema comprometido. Imagem: BlueVoyant.

“O servidor cria dinamicamente um PDF personalizado e protegido por senha, simulando uma intimação judicial espanhola, que é enviado de volta ao host infectado. O script então percorre a lista de e-mails filtrada, utilizando a própria conta de e-mail do usuário comprometido para enviar um e-mail de phishing personalizado com o PDF recém-gerado em anexo”, explica a BlueVoyant.

Também é utilizada em conjunto uma DLL secundária relacionada ao Horabot (“at.dll”), que funciona como uma ferramenta de spam e sequestro de contas, visando contas do Yahoo, Live e Gmail para enviar e-mails de phishing através do Outlook. Estima-se que o Horabot tenha sido utilizado em ataques direcionados à América Latina desde, pelo menos, novembro de 2020.

WhatsApp e ClickFix também são usados na campanha

O Water Saci tem um histórico de uso do WhatsApp Web como vetor de distribuição para disseminar trojans bancários como o Maverick e o Casbaneiro de maneira semelhante a um worm. 

No entanto, campanhas recentes destacadas pela Kaspersky têm aproveitado a tática de engenharia social ClickFix para induzir usuários a executar arquivos HTA maliciosos, com o objetivo final de implantar o Casbaneiro e o disseminador Horabot.

china-ataques-governo-america-latina.png
Brasil não está entre os alvos da campanha, mas todos os países da América Latina e nações europeias também podem ser afetadas.

“Em conjunto, a integração da engenharia social do ClickFix, aliada à geração dinâmica de PDFs e à automação do WhatsApp, revela um adversário ágil que está continuamente inovando e executando diversas estratégias de ataque para contornar os controles de segurança modernos”, explica a BlueVoyant. 

Em última análise, a BlueVoyant avalia que esse adversário mantém uma infraestrutura de ataque bifurcada e multifacetada, implantando dinamicamente a cadeia Maverick centrada no WhatsApp e utilizando simultaneamente as estratégias de ataque do ClickFix e do Horabot, baseado em e-mail. 

Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Trecho de rua passa a ter duplo sentido a partir de amanhã; veja local 
próxima postagem
Super Mario Galaxy e mais! Confira as estreias do cinema desta semana

Você também pode gostar

Falhas no AirDrop e no Quick Share deixam...

1 de julho de 2026

App da Samsung vaza visual e informações do...

1 de julho de 2026

PS Plus Essential de julho terá Call of...

1 de julho de 2026

Qualcomm marca data para revelar o Snapdragon 8...

1 de julho de 2026

POSTS MAIS RECENTES

  • Falhas no AirDrop e no Quick Share deixam celulares expostos a ataques
  • App da Samsung vaza visual e informações do Galaxy Glasses
  • PS Plus Essential de julho terá Call of Duty e mais games! Confira a lista completa
  • Brasil inicia preparação para oitavas da Copa contra Noruega
  • Qualcomm marca data para revelar o Snapdragon 8 Elite Gen 6

Siga-nos

  • Recente
  • Popular
  • Falhas no AirDrop e no Quick Share deixam celulares expostos a ataques

    1 de julho de 2026
  • App da Samsung vaza visual e informações do Galaxy Glasses

    1 de julho de 2026
  • PS Plus Essential de julho terá Call of Duty e mais games! Confira a lista completa

    1 de julho de 2026
  • Brasil inicia preparação para oitavas da Copa contra Noruega

    1 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Pedidos de refúgio em Campinas quase igualam total...

1 de julho de 2026

Volkswagen avalia fabricar carros chineses em fábricas da...

1 de julho de 2026

Rhythm Heaven Groove coroa a trajetória lendária do...

1 de julho de 2026

Vint Cerf, um dos ‘pais’ da internet moderna,...

1 de julho de 2026

A Odisseia ganha trailer grandioso que inicia contagem...

1 de julho de 2026

Leitura obrigatória

  • Falhas no AirDrop e no Quick Share deixam celulares expostos a ataques

    1 de julho de 2026
  • App da Samsung vaza visual e informações do Galaxy Glasses

    1 de julho de 2026
  • PS Plus Essential de julho terá Call of Duty e mais games! Confira a lista completa

    1 de julho de 2026
  • Brasil inicia preparação para oitavas da Copa contra Noruega

    1 de julho de 2026
  • Qualcomm marca data para revelar o Snapdragon 8 Elite Gen 6

    1 de julho de 2026

Newsletter

Posts relacionados

  • Falhas no AirDrop e no Quick Share deixam celulares expostos a ataques

    1 de julho de 2026
  • App da Samsung vaza visual e informações do Galaxy Glasses

    1 de julho de 2026
  • PS Plus Essential de julho terá Call of Duty e mais games! Confira a lista completa

    1 de julho de 2026
  • Qualcomm marca data para revelar o Snapdragon 8 Elite Gen 6

    1 de julho de 2026
  • Rhythm Heaven Groove coroa a trajetória lendária do Nintendo Switch

    1 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
Altman pede desculpas por OpenAI não alertar polícia sobre suspeita de tiroteio
25 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026

Postagens Aleatórias

Google lança Android 17 com mais IA e melhorias de desempenho; veja novos recursos
16 de junho de 2026
Israel cria tribunal que prevê pena de morte para envolvidos no ataque do Hamas
12 de maio de 2026
The Madison: entenda o final da série e a grande reviravolta que ele traz
25 de março de 2026

Categorias Populares

  • Tecnologia (5.766)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (1.997)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.077)
  • Bragança Paulista (1.041)
  • Esporte (746)
  • Saúde (482)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home