PhishingMalwareCyberkriminalität

Casbaneiro-Phishing: Brasilianische Cyberkriminelle zielt auf spanischsprachige Nutzer in Europa und Lateinamerika

Casbaneiro-Phishing: Brasilianische Cyberkriminelle zielt auf spanischsprachige Nutzer in Europa und Lateinamerika
Zusammenfassung

Eine groß angelegte Phishing-Kampagne zielt derzeit auf spanischsprachige Nutzer in Organisationen Lateinamerikas und Europas ab. Die Angreifer verschicken infizierte E-Mails mit gefälschten Gerichtszitaten als Dateianhänge und nutzen dabei dynamisch generierte PDF-Dokumente als Köder. Das Ziel der Kampagne ist die Verbreitung der Banking-Trojaner Casbaneiro und Horabot, die Bankkonten leeren und sich selbst verbreiten können. Hinter der Attacke steckt eine brasilianische Cyberkriminalgruppe namens Water Saci beziehungsweise Augmented Marauder. Die Angreifer nutzen dabei mehrere Kanäle gleichzeitig – neben E-Mail-Phishing auch WhatsApp und Social-Engineering-Taktiken. Für deutsche Nutzer, Unternehmen und Behörden könnte diese Kampagne relevant werden, falls die Angreifer ihr Einsatzgebiet ausweiten: Die technischen Methoden sind unabhängig von Sprache oder Region einsetzbar. Deutsche Unternehmen mit Geschäftsbeziehungen zu Spanien oder Lateinamerika könnten besonders gefährdet sein. Die hohe Automatisierung und ständige Anpassung der Malware-Infrastruktur zeigen ein professionell operierendes Cyberkriminal-Syndikat, das kontinuierlich neue Wege findet, um Sicherheitsvorkehrungen zu umgehen.

Die brasilianische Cyberkriminellen-Gruppe nutzt eine mehrschichtige Angriffsstrategie, die Phishing-Emails, WhatsApp-Automation und Social-Engineering kombiniert. Der Angriff beginnt mit einer täuschend echt wirkenden Phishing-Mail, die sich als Gerichtsbescheid ausgibt. Die Opfer werden aufgefordert, ein passwortgeschütztes PDF zu öffnen. Ein Link in diesem Dokument leitet die Nutzer auf eine bösartige Webseite weiter und triggert automatisch den Download eines ZIP-Archivs.

Dieses Archiv enthält HTML Application (HTA) und VBS-Skripte, die zuerst umfangreiche Sicherheitschecks durchführen – etwa die Erkennung von Avast-Antivirus-Software. Anschließend laden sie weitere Malware-Komponenten nach. AutoIt-basierte Loader entpacken verschlüsselte Payload-Dateien und starten schließlich Casbaneiro und Horabot.

Besonders raffiniert ist die Verbreitungsmechanik: Casbaneiro kontaktiert einen Command-and-Control-Server (C2) und lädt ein PowerShell-Skript herunter. Dieses Skript sendet eine HTTP-POST-Anfrage an die API “hxxps://tt.grupobedfs[.]com/…/gera_pdf.php”. Der Server generiert daraufhin dynamisch ein neues, individualisiertes PDF – täuschend echt als spanischer Gerichtsbescheid gestaltet und mit einem zufälligen vierstelligen PIN versehen.

Horabot fungiert als Propagationswerkzeug: Das Skript durchforstet die Kontakte aus Microsoft Outlook und versendet über das kompromittierte Email-Konto neue Phishing-Mails mit dem gerade generierten PDF. Ein zweites Horabot-Modul (“at.dll”) funktioniert zudem als Spam- und Account-Hijacking-Tool, das auf Yahoo-, Live- und Gmail-Konten abzielt.

Water Saci ist seit mindestens November 2020 für Angriffe in Lateinamerika bekannt und nutzt auch WhatsApp Web als Verbreitungskanal. Neuere Kampagnen setzen zusätzlich auf die ClickFix-Taktik – eine Social-Engineering-Methode, bei der Nutzer dazu gebracht werden, bösartige HTA-Dateien auszuführen.

Die Angreifer zeigen damit eine hohe Adaptivität und technische Raffinesse. Die Kombination aus dynamischer PDF-Generierung, Email-Hijacking und WhatsApp-Automation macht es für traditionelle Sicherheitslösungen schwer, die Kampagne zu erkennen. Sicherheitsexperten warnen: Dieser Ansatz demonstriert ein kontinuierlich innovierendes Angreifer-Ökosystem, das moderne Sicherheitskontrollen systematisch umgeht.

Ähnliche Artikel