كشفت تقارير أمنية حديثة عن حملة تصيّد متعددة المسارات تستهدف مستخدمين ناطقين بالإسبانية في مؤسسات بأمريكا اللاتينية وأوروبا، بهدف نشر أحصنة طروادة مصرفية مثل Casbaneiro (المعروف أيضاً باسم Metamorfo) عبر برمجية أخرى تُدعى Horabot.
الهجوم يبدأ برسائل بريد إلكتروني مموهة على هيئة استدعاءات قضائية، مرفقة بملفات PDF محمية بكلمة مرور. عند فتح الملف والنقر على الرابط المضمّن، يتم توجيه الضحية إلى موقع خبيث وتنزيل ملف ZIP يحتوي على شيفرات تنفيذية (HTA وVBS) تعمل كمرحلة وسيطة.
دور Horabot في الانتشار
البرمجية النصية VBS تنفذ فحوصات بيئية وأمنية، مثل التحقق من وجود برنامج Avast، ثم تجلب حمولة إضافية من خادم بعيد. هذه الحمولة تتضمن محملات مبنية على AutoIt تقوم بفك تشفير ملفات بامتدادات “.ia” أو “.at”، ليتم تشغيل وحدات DLL خبيثة:
- Casbaneiro (staticdata.dll): الحمولة الأساسية التي تتصل بخادم تحكم وسيطرة (C2) لجلب سكربت PowerShell.
- Horabot (at.dll): أداة لنشر البريد العشوائي واختراق الحسابات، تستهدف خدمات مثل Yahoo وLive وGmail، وتستخدم حساب Outlook المخترق لإرسال رسائل تصيّد جديدة.
تقنية PDF الديناميكي
اللافت أن المهاجمين لم يعودوا يعتمدون على ملفات ثابتة، بل يستخدمون سكربتات تولّد ملفات PDF ديناميكية محمية بكلمة مرور، تحاكي استدعاءات قضائية إسبانية. يتم توليد الملف عبر خادم PHP باستخدام رمز PIN عشوائي، ثم يُرسل إلى جهاز الضحية ليُستخدم في رسائل تصيّد جديدة موجهة إلى جهات الاتصال المسروقة. هذه التقنية تجعل كل رسالة تبدو فريدة ومقنعة أكثر.
خلفية المهاجمين وتكتيكات إضافية
الحملة مرتبطة بمجموعات تهديد برازيلية تُعرف باسم Augmented Marauder وWater Saci، والتي وثقتها Trend Micro في أكتوبر 2025. هذه المجموعات معروفة باستخدامها لتقنيات مثل ClickFix وخدمات WhatsApp Web لنشر أحصنة طروادة مصرفية مثل Maverick وCasbaneiro بطريقة تشبه الديدان الإلكترونية.
التكامل بين ClickFix، توليد PDF ديناميكي، وأتمتة واتساب يعكس خصماً مرناً يبتكر باستمرار طرقاً جديدة لتجاوز أنظمة الحماية الحديثة.
