{"id":429,"date":"2026-04-01T17:08:46","date_gmt":"2026-04-01T17:08:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/01\/el-phishing-de-casbaneiro-se-dirige-a-america-latina-y-europa-utilizando-senuelos-pdf-dinamicos-cyberdefensa-mx\/"},"modified":"2026-04-01T17:08:46","modified_gmt":"2026-04-01T17:08:46","slug":"el-phishing-de-casbaneiro-se-dirige-a-america-latina-y-europa-utilizando-senuelos-pdf-dinamicos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/01\/el-phishing-de-casbaneiro-se-dirige-a-america-latina-y-europa-utilizando-senuelos-pdf-dinamicos-cyberdefensa-mx\/","title":{"rendered":"El phishing de Casbaneiro se dirige a Am\u00e9rica Latina y Europa utilizando se\u00f1uelos PDF din\u00e1micos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Una campa\u00f1a de phishing de m\u00faltiples frentes est\u00e1 dirigida a usuarios de habla hispana en organizaciones de Am\u00e9rica Latina y Europa para entregar troyanos bancarios de Windows como Casbaneiro (tambi\u00e9n conocido como Metamorfo) a trav\u00e9s de otro malware llamado Horabot.<\/p>\n<p>La actividad se ha atribuido a un actor brasile\u00f1o de amenazas de delitos cibern\u00e9ticos rastreado como Augmented Marauder y Water Saci. Trend Micro document\u00f3 por primera vez al grupo de delitos electr\u00f3nicos en octubre de 2025.<\/p>\n<p>\u00abEste grupo de amenazas emplea un modelo de ataque de mayor alcance centrado en un mecanismo de entrega y propagaci\u00f3n personalizado que incluye WhatsApp, t\u00e9cnicas ClickFix y phishing centrado en el correo electr\u00f3nico\u00bb, dijeron los investigadores de seguridad de BlueVoyant, Thomas Elkins y Joshua Green. <a href=\"https:\/\/www.bluevoyant.com\/blog\/augmented-marauders-multi-pronged-casbaneiro-campaigns\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un desglose t\u00e9cnico publicado el martes.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abAhora es evidente que, si bien estos operadores con sede en Brasil aprovechan en gran medida la automatizaci\u00f3n de WhatsApp basada en scripts para comprometer a los usuarios minoristas y consumidores en Am\u00e9rica Latina, al mismo tiempo mantienen e implementan un motor avanzado de secuestro de correo electr\u00f3nico para penetrar los per\u00edmetros empresariales all\u00ed y tambi\u00e9n en Europa\u00bb.<\/p>\n<p>El punto de partida de la campa\u00f1a es un correo electr\u00f3nico de phishing que emplea mensajes con temas de citaciones judiciales para enga\u00f1ar a los destinatarios para que abran un archivo PDF adjunto protegido con contrase\u00f1a. Al hacer clic en un enlace incrustado en el documento, la v\u00edctima dirige a un enlace malicioso e inicia una descarga autom\u00e1tica de un archivo ZIP, lo que, a su vez, conduce a la ejecuci\u00f3n de la aplicaci\u00f3n HTML provisional (HTA) y cargas \u00fatiles VBS.<\/p>\n<p>El script VBS est\u00e1 dise\u00f1ado para llevar a cabo comprobaciones ambientales y antian\u00e1lisis similares a las que se encuentran en los artefactos de Horabot, incluidas comprobaciones del software antivirus Avast, y procede a recuperar las cargas \u00fatiles de la siguiente etapa desde un servidor remoto. Entre los archivos descargados se encuentran cargadores basados \u200b\u200ben AutoIt, cada uno de los cuales extrae y ejecuta archivos de carga \u00fatil cifrados con extensiones \u00ab.ia\u00bb o \u00ab.at\u00bb para eventualmente lanzar dos familias de malware: Casbaneiro (\u00abstaticdata.dll\u00bb) y Horabot (\u00abat.dll\u00bb).<\/p>\n<p>Si bien Casbaneiro es la carga \u00fatil principal, Horabot se utiliza como mecanismo de propagaci\u00f3n del malware. El m\u00f3dulo Delphi DLL de Casbaneiro se pone en contacto con un servidor de comando y control (C2) para obtener un script de PowerShell que emplea Horabot para distribuir el malware a trav\u00e9s de correos electr\u00f3nicos de phishing a contactos recopilados de Microsoft Outlook.<\/p>\n<p>\u00abEn lugar de distribuir un archivo est\u00e1tico o un enlace codificado como se ve en campa\u00f1as anteriores de Horabot, este script inicia una solicitud HTTP POST a una API PHP remota (hxxps:\/\/tt.grupobedfs[.]com\/\u2026\/gera_pdf.php), pasando un PIN de cuatro d\u00edgitos generado aleatoriamente\u00bb, dijo BlueVoyant.<\/p>\n<p>\u00abEl servidor falsifica din\u00e1micamente un PDF personalizado, protegido con contrase\u00f1a, que se hace pasar por una citaci\u00f3n judicial espa\u00f1ola, que se devuelve al host infectado. Luego, el script recorre la lista de correo electr\u00f3nico filtrada, utilizando la propia cuenta de correo electr\u00f3nico del usuario comprometido para enviar un correo electr\u00f3nico de phishing personalizado con el PDF reci\u00e9n generado adjunto\u00bb.<\/p>\n<p>Tambi\u00e9n se utiliza en conjunto una DLL secundaria relacionada con Horabot (\u00abat.dll\u00bb) que funciona como una herramienta de spam y secuestro de cuentas dirigida a cuentas de Yahoo, Live y Gmail para enviar correos electr\u00f3nicos de phishing a trav\u00e9s de Outlook. Horabot es <a href=\"https:\/\/thehackernews.com\/2023\/06\/new-botnet-malware-horabot-targets.html\" rel=\"noopener\" target=\"_blank\">Se estima que se utilizar\u00e1 en ataques dirigidos a Am\u00e9rica Latina desde al menos noviembre de 2020.<\/a><\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Water Saci tiene un historial de uso de WhatsApp Web como vector de distribuci\u00f3n para difundir troyanos bancarios como Maverick y Casbaneiro en forma de gusano. Sin embargo, las campa\u00f1as recientes destacadas por Kaspersky han <a href=\"https:\/\/securelist.com\/horabot-campaign\/119033\/\" rel=\"noopener\" target=\"_blank\">apalancado<\/a> la t\u00e1ctica de ingenier\u00eda social de ClickFix para enga\u00f1ar a los usuarios para que ejecuten archivos HTA maliciosos con el objetivo final de implementar Casbaneiro y el esparcidor Horabot.<\/p>\n<p>\u00abEn conjunto, la integraci\u00f3n de la ingenier\u00eda social de ClickFix, junto con la generaci\u00f3n din\u00e1mica de PDF y la automatizaci\u00f3n de WhatsApp, demuestra un adversario \u00e1gil que continuamente innova y ejecuta diversas rutas de ataque para eludir los controles de seguridad modernos\u00bb, concluyeron los investigadores.<\/p>\n<p>\u00abEste adversario mantiene una infraestructura de ataque bifurcada y de m\u00faltiples frentes, implementando din\u00e1micamente la cadena Maverick centrada en WhatsApp y utilizando simult\u00e1neamente rutas de ataque ClickFix y Horabot basadas en correo electr\u00f3nico\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Una campa\u00f1a de phishing de m\u00faltiples frentes est\u00e1 dirigida a usuarios de habla hispana en organizaciones de Am\u00e9rica Latina y Europa para entregar troyanos bancarios de Windows como Casbaneiro (tambi\u00e9n conocido como Metamorfo) a trav\u00e9s de otro malware llamado Horabot. La actividad se ha atribuido a un actor brasile\u00f1o de amenazas de delitos cibern\u00e9ticos rastreado [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[550,1472,24,1476,833,1465,1473,1475,365,1474,330],"class_list":["post-429","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-america","tag-casbaneiro","tag-cyberdefensa-mx","tag-dinamicos","tag-dirige","tag-europa","tag-latina","tag-pdf","tag-phishing","tag-senuelos","tag-utilizando"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=429"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/429\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}