Auf den ersten Blick wirkt ein Angriff von Augmented Marauder unauffällig: Alle Opfer erhalten dieselbe E-Mail-Benachrichtigung über eine vage angekündigte gerichtliche Vorladung. Wer darauf hereinfällt, landet auf einer Website und lädt dort eine schädliche ZIP-Datei herunter. Hinter jedem Schritt dieser Kette steckt laut BlueVoyant jedoch ein Kniff, der entweder die Erkennung erschwert oder die Verbreitung beschleunigt.

Die an die Phishing-Mail angehängte Datei ist passwortgeschützt. Das verleiht dem Dokument einen Anschein von Seriosität und kann helfen, der Prüfung durch Secure Email Gateways (SEGs) zu entgehen. Zudem ist der Name der ZIP-Datei für jedes Opfer zufällig gewählt — ein Hindernis für signaturbasierte Erkennungswerkzeuge.

Entscheidend ist laut BlueVoyant aber, wie die Vorladungs-Mail überhaupt im Posteingang landet. Ein später in der Angriffskette eingesetztes Skript namens Horabot missbraucht das E-Mail-Konto des Opfers zur Selbstverbreitung: Es greift die Kontakte ab, filtert sie und verschickt eine neue Welle von Phishing-Mails an beliebig viele potenzielle Ziele — mit einer abgewandelten, neu mit einem Passwort gesperrten Version der Vorladungsdatei.

Dieser wurmartige Mechanismus bringt mehrere Vorteile. Da neue Ziele die Phishing-Mails von vertrauenswürdigen Kontakten erhalten, ist die Wahrscheinlichkeit höher, dass sie auf die Anhänge klicken; zugleich werden solche Mails seltener von Sicherheitslösungen markiert. “Und es ist ziemlich clever, weil es schwerer macht zu erkennen, wo der Angriff eigentlich seinen Ursprung hatte”, erklärt Thomas Elkins. Über die wurmartigen E-Mails und die parallelen WhatsApp-Nachrichten in der Brasilien-Kampagne automatisiere die Gruppe ihre Angriffsketten so, dass sie nicht mehr auf ein einzelnes angreifergesteuertes Konto angewiesen sei — was es Verteidigern erschwere, die vom Angreifer kontrollierte Infrastruktur zu identifizieren.

Ziel des Ganzen ist die Auslieferung von Casbaneiro, einem klassischen Banking-Trojaner, der ausgelöst wird, sobald Opfer ihre Krypto- oder Finanzdienstleister online aufrufen. Die Zielliste ist umfangreich und umfasst große Banken in Mittel- und Südamerika wie Santander und Banco do Brasil sowie Zahlungs- und Kryptoplattformen wie Binance. Der Trojaner blendet ein Overlay ein, um Nutzern eine legitime Anmeldeseite vorzutäuschen, und protokolliert Tastatureingaben, um Zugangsdaten abzugreifen.

Für Elkins bleibt das Phänomen der brasilianischen Banking-Trojaner ein Rätsel: Viele neuere Akteure konzentrierten sich darauf, in Kundennetze einzudringen, Daten zu exfiltrieren oder mit Ransomware Lösegeld zu erpressen. Banking-Trojaner seien zwar ein direkterer Weg, mit Malware Geld zu stehlen, doch die meisten dürften heute kaum noch erfolgreich sein, weil sie zu leicht angreifbar seien. Allein Windows Defender verfüge über zahlreiche Regelsätze, um AutoIT-Programme wie die von Water Saci eingesetzten abzufangen. In seinen Untersuchungen sehe er deshalb häufig, dass die Angriffe bereits im E-Mail-Stadium gestoppt würden und gar nicht erst die Umgebung des Kunden vollständig erreichten.