Una campaña de phishing de múltiples frentes está dirigida a usuarios de habla hispana en organizaciones de América Latina y Europa para entregar troyanos bancarios de Windows como Casbaneiro (también conocido como Metamorfo) a través de otro malware llamado Horabot.

La actividad se ha atribuido a un actor brasileño de amenazas de delitos cibernéticos rastreado como Augmented Marauder y Water Saci. Trend Micro documentó por primera vez al grupo de delitos electrónicos en octubre de 2025.

«Este grupo de amenazas emplea un modelo de ataque de mayor alcance centrado en un mecanismo de entrega y propagación personalizado que incluye WhatsApp, técnicas ClickFix y phishing centrado en el correo electrónico», dijeron los investigadores de seguridad de BlueVoyant, Thomas Elkins y Joshua Green. dicho en un desglose técnico publicado el martes.

«Ahora es evidente que, si bien estos operadores con sede en Brasil aprovechan en gran medida la automatización de WhatsApp basada en scripts para comprometer a los usuarios minoristas y consumidores en América Latina, al mismo tiempo mantienen e implementan un motor avanzado de secuestro de correo electrónico para penetrar los perímetros empresariales allí y también en Europa».

El punto de partida de la campaña es un correo electrónico de phishing que emplea mensajes con temas de citaciones judiciales para engañar a los destinatarios para que abran un archivo PDF adjunto protegido con contraseña. Al hacer clic en un enlace incrustado en el documento, la víctima dirige a un enlace malicioso e inicia una descarga automática de un archivo ZIP, lo que, a su vez, conduce a la ejecución de la aplicación HTML provisional (HTA) y cargas útiles VBS.

El script VBS está diseñado para llevar a cabo comprobaciones ambientales y antianálisis similares a las que se encuentran en los artefactos de Horabot, incluidas comprobaciones del software antivirus Avast, y procede a recuperar las cargas útiles de la siguiente etapa desde un servidor remoto. Entre los archivos descargados se encuentran cargadores basados ​​en AutoIt, cada uno de los cuales extrae y ejecuta archivos de carga útil cifrados con extensiones «.ia» o «.at» para eventualmente lanzar dos familias de malware: Casbaneiro («staticdata.dll») y Horabot («at.dll»).

Si bien Casbaneiro es la carga útil principal, Horabot se utiliza como mecanismo de propagación del malware. El módulo Delphi DLL de Casbaneiro se pone en contacto con un servidor de comando y control (C2) para obtener un script de PowerShell que emplea Horabot para distribuir el malware a través de correos electrónicos de phishing a contactos recopilados de Microsoft Outlook.

«En lugar de distribuir un archivo estático o un enlace codificado como se ve en campañas anteriores de Horabot, este script inicia una solicitud HTTP POST a una API PHP remota (hxxps://tt.grupobedfs[.]com/…/gera_pdf.php), pasando un PIN de cuatro dígitos generado aleatoriamente», dijo BlueVoyant.

«El servidor falsifica dinámicamente un PDF personalizado, protegido con contraseña, que se hace pasar por una citación judicial española, que se devuelve al host infectado. Luego, el script recorre la lista de correo electrónico filtrada, utilizando la propia cuenta de correo electrónico del usuario comprometido para enviar un correo electrónico de phishing personalizado con el PDF recién generado adjunto».

También se utiliza en conjunto una DLL secundaria relacionada con Horabot («at.dll») que funciona como una herramienta de spam y secuestro de cuentas dirigida a cuentas de Yahoo, Live y Gmail para enviar correos electrónicos de phishing a través de Outlook. Horabot es Se estima que se utilizará en ataques dirigidos a América Latina desde al menos noviembre de 2020.

Water Saci tiene un historial de uso de WhatsApp Web como vector de distribución para difundir troyanos bancarios como Maverick y Casbaneiro en forma de gusano. Sin embargo, las campañas recientes destacadas por Kaspersky han apalancado la táctica de ingeniería social de ClickFix para engañar a los usuarios para que ejecuten archivos HTA maliciosos con el objetivo final de implementar Casbaneiro y el esparcidor Horabot.

«En conjunto, la integración de la ingeniería social de ClickFix, junto con la generación dinámica de PDF y la automatización de WhatsApp, demuestra un adversario ágil que continuamente innova y ejecuta diversas rutas de ataque para eludir los controles de seguridad modernos», concluyeron los investigadores.

«Este adversario mantiene una infraestructura de ataque bifurcada y de múltiples frentes, implementando dinámicamente la cadena Maverick centrada en WhatsApp y utilizando simultáneamente rutas de ataque ClickFix y Horabot basadas en correo electrónico».

Los actores de amenazas están utilizando páginas de phishing de adversario en el medio (AitM) para tomar el control de las cuentas de TikTok for Business en una nueva campaña, según un informe de Push Security.

Las cuentas comerciales asociadas con plataformas de redes sociales son un objetivo lucrativo, ya que los delincuentes pueden utilizarlas como arma para realizar publicidad y distribución de malware.

«Históricamente se ha abusado de TikTok para distribuir enlaces maliciosos e instrucciones de ingeniería social», Push Security dicho. «Esto incluye múltiples ladrones de información como Vidar, StealC y Aura Stealer entregados a través de instrucciones estilo ClickFix con videos generados por IA que actúan como guías de activación para Windows, Spotify y CapCut».

La campaña comienza engañando a las víctimas para que hagan clic en un enlace malicioso que las dirige a una página similar que se hace pasar por TikTok for Business o una página diseñada para hacerse pasar por Google Careers, junto con una opción para programar una llamada para analizar la oportunidad.

Vale la pena señalar que una versión anterior de esta campaña de phishing de credenciales fue marcado por Sublime Security en octubre de 2025, con correos electrónicos disfrazados de mensajes de divulgación utilizados como táctica de ingeniería social.

Independientemente del tipo de página servida, el objetivo final es el mismo: realizar una verificación de Cloudflare Turnstile para impedir que los bots y los escáneres automáticos analicen el contenido de la página y ofrecer una página de inicio de sesión de phishing AitM maliciosa diseñada para robar sus credenciales.

Las páginas de phishing están alojadas en los siguientes dominios:

• bienvenidos.carreratornillos[.]com
• bienvenido.careerstaffer[.]com
• bienvenido.careersworkflow[.]com
• bienvenido.careerstransform[.]com
• bienvenido.careersupskill[.]com
• bienvenido.carreraséxito[.]com
• bienvenido.careersstaffgrid[.]com
• bienvenido.progresoprofesional[.]com
• bienvenido.careersgrower[.]com
• bienvenido.careersengage[.]com
• bienvenidos.carreratornillos[.]com

El desarrollo se produce cuando se ha observado otra campaña de phishing que utiliza archivos adjuntos de gráficos vectoriales escalables (SVG) para entregar malware a objetivos ubicados en Venezuela.

Según un informe publicado por WatchGuard, los mensajes tienen archivos SVG con nombres de archivo en español, disfrazados de facturas, recibos o presupuestos.

«Cuando se abren estos SVG maliciosos, se comunican con una URL que descarga el artefacto malicioso», dijo la compañía. dicho. «Esta campaña utiliza ja.cat para acortar las URL de dominios legítimos que tienen una vulnerabilidad que permite redirecciones a cualquier URL, de modo que apunten al dominio original donde se descarga el malware».

El artefacto descargado es un malware escrito en Go que comparte superposiciones con un BianLian muestra de ransomware detallado por SecurityScorecard en enero de 2024.

«Esta campaña es un fuerte recordatorio de que incluso tipos de archivos aparentemente inofensivos como los SVG pueden usarse para generar amenazas graves», dijo WatchGuard. «En este caso, se utilizaron archivos adjuntos SVG maliciosos para iniciar una cadena de phishing que condujo a la entrega de malware asociado con BianLian actividad.»

Investigadores de ciberseguridad han revelado detalles de un nuevo malware bancario dirigido a usuarios brasileños que está escrito en Rust, lo que marca una desviación significativa de otras familias de malware conocidas basadas en Delphi asociadas con el ecosistema de cibercrimen latinoamericano.

El malware, que está diseñado para infectar sistemas Windows y fue descubierto por primera vez el mes pasado, lleva el nombre en código VENENO por la empresa brasileña de ciberseguridad ZenoX.

Lo que hace que VENON sea notable es que comparte comportamientos que son consistentes con los troyanos bancarios establecidos que apuntan a la región, como Grandoreiro, Mekotio y Coyote, específicamente cuando se trata de características como lógica de superposición bancaria, monitoreo activo de ventanas y un mecanismo de secuestro de acceso directo (LNK).

El malware no se ha atribuido a ningún grupo o campaña documentado previamente. Sin embargo, se descubrió que una versión anterior del artefacto, que data de enero de 2026, expone rutas completas del entorno de desarrollo del autor del malware. Las rutas hacen referencia repetidamente a un nombre de usuario de máquina Windows «byst4» (por ejemplo, «C:\Users\byst4\…»).

«La estructura del código de Rust presenta patrones que sugieren un desarrollador familiarizado con las capacidades de los troyanos bancarios existentes en América Latina, pero que utilizó IA generativa para reescribir y expandir estas funcionalidades en Rust, un lenguaje que requiere una experiencia técnica significativa para usarlo con el nivel de sofisticación observado», ZenoX dicho.

VENON se distribuye mediante una sofisticada cadena de infección que utiliza la carga lateral de DLL para iniciar una DLL maliciosa. Se sospecha que la campaña aprovecha estrategias de ingeniería social como ClickFix para engañar a los usuarios para que descarguen un archivo ZIP que contiene las cargas útiles mediante un script de PowerShell.

Una vez que se ejecuta la DLL, realiza nueve técnicas de evasión, incluidas comprobaciones anti-sandbox, llamadas al sistema indirectas, omisión de ETW y omisión de AMSI, antes de iniciar cualquier acción maliciosa. También accede a una URL de Google Cloud Storage para recuperar una configuración, instalar una tarea programada y establecer una conexión WebSocket con el servidor de comando y control (C2).

También se extraen de la DLL dos bloques de Visual Basic Script que implementan un mecanismo de secuestro de accesos directos dirigido exclusivamente a la aplicación bancaria Itaú. Los componentes funcionan reemplazando los accesos directos legítimos del sistema con versiones manipuladas que redirigen a la víctima a una página web bajo el control del actor de la amenaza.

El ataque también admite un paso de desinstalación para deshacer las modificaciones, lo que sugiere que el operador puede controlar remotamente la operación para restaurar los accesos directos a lo que eran originalmente para cubrir las pistas.

En total, el malware bancario está equipado para apuntar a 33 instituciones financieras y plataformas de activos digitales al monitorear el título de la ventana y el dominio activo del navegador, y entra en acción solo cuando cualquiera de las aplicaciones o sitios web objetivo se abre para facilitar el robo de credenciales al ofrecer superposiciones falsas.

La divulgación se produce en medio de campañas en las que actores de amenazas están explotando la ubicuidad de WhatsApp en Brasil para distribuir un gusano llamado SORVEPOTEL a través de la versión web de escritorio de la plataforma de mensajería. El ataque se basa en el abuso de chats previamente autenticados para entregar señuelos maliciosos directamente a las víctimas, lo que en última instancia resulta en la implementación de malware bancario como Maverick, Casbaneiro o Astaroth.

«Un solo mensaje de WhatsApp entregado a través de una sesión de SORVEPOTEL secuestrada fue suficiente para atraer a la víctima a una cadena de varias etapas que finalmente resultó en que un implante de Astaroth se ejecutara completamente en la memoria», Blackpoint Cyber dicho.

«La combinación de herramientas de automatización local, controladores de navegador no supervisados ​​y tiempos de ejecución modificables por el usuario crearon un entorno inusualmente permisivo, permitiendo que tanto el gusano como la carga útil final se establecieran con una fricción mínima».