Golpe usa PDF protegido por senha e transforma a vítima em “distribuidora” do vírus
Augmented Marauder e Water Saci lideram, recentemente, uma ofensiva que já compromete instituições financeiras da Europa e da América Latina, explorando engenharia social para burlar filtros corporativos.
- Em resumo: PDF falso de intimação judicial instala Casbaneiro e Horabot, que roubam credenciais e alavancam o e-mail da vítima para novas infecções.
Por que o PDF passa ileso pelos filtros?
O anexo chega protegido por senha, exigindo ação manual do usuário – etapa que contorna varreduras automáticas. Após a abertura, um ZIP dispara scripts HTA e VBS com privilégios de administrador; técnica semelhante já havia sido observada, segundo análise do Canaltech, em fraudes bancárias de 2023.
“O script pausa a execução se detectar antivírus como o Avast, dificultando a análise forense e prolongando a permanência do invasor.”
Horabot: de máquina zumbi a chuva de spam
Mais do que roubar dados, Horabot transforma o computador em um hub de disparo automático. Ele extrai contatos do Outlook, Gmail e Yahoo, gera novos PDFs personalizados em seu servidor de comando e envia a isca a partir da conta legítima do infectado. Essa tática eleva a taxa de abertura e amplia o alcance do golpe.
Expansão para WhatsApp e risco corporativo
O Water Saci evoluiu para o WhatsApp Web, replicando o worm em conversas de grupo e adotando o método ClickFix – que promete “corrigir erros” do navegador e induz a execução do malware. Empresas que utilizam WhatsApp para atendimento estão particularmente expostas, pois a confiança pré-existente reduz a desconfiança diante de arquivos compartilhados.
O que você acha? Sua companhia estaria preparada para identificar um PDF protegido vindo de um contato confiável? Para mais detalhes, acesse nossa editoria especializada.
Crédito da imagem: Divulgação / Hardware.com.br
