Introdução
Um Trojan bancário bem conhecido chamado Horabot reapareceu em uma campanha ativa visando usuários em todo o México, combinando uma cadeia de infecção multietapa com um worm de e-mail que transforma cada máquina comprometida em um relé de phishing. A ameaça agrupa um Trojan bancário baseado em Delphi com um spreader movido a PowerShell, tornando-se uma das ameaças motivadas financeiramente mais em camadas vistas na América Latina.
Descoberta e escopo
A campanha foi identificada por analistas da Securelist após um alerta de execução suspeita de mshta acionado dentro de um ambiente de cliente monitorado. A equipe rastreou a atividade até uma página de CAPTCHA falsa e mapeou a cadeia de ataque completa sondando a infraestrutura do adversário.
Durante esse processo, os pesquisadores encontraram um log de vítima exposto no próprio servidor do atacante, revelando 5.384 máquinas infectadas — 5.030, ou aproximadamente 93%, localizadas no México. Os registros remontam a maio de 2025, confirmando que a operação estava em execução há meses antes da detecção.
Atores de ameaça mostram claras ligações com o Brasil. Comentários dentro do código PowerShell do spreader foram escritos em português brasileiro casual, e a chave de criptografia usada para descriptografia de recursos refere-se à frase "pega a visão", significando "pegue a visão" em gíria brasileira.
O que mudou agora
O ataque começa com uma página de CAPTCHA falsa que instrui as vítimas a abrirem o diálogo Executar do Windows e colarem um comando malicioso. Em vez de explorar uma falha de software, os atacantes enganam os usuários para executarem um arquivo HTA malicioso que inicia silenciosamente a cadeia de infecção.
Esse método contorna muitas defesas de endpoint ao transformar a vítima em um participante inconsciente de seu próprio comprometimento. O Trojan bancário Delphi — também rastreado como Casbaneiro, Ponteiro e Metamorfo — usa pop-ups de sobreposição bancária falsa para roubar credenciais de login durante sessões bancárias ativas.
Vetor e exploração
O que diferencia esta campanha não é apenas seu payload, mas a rota de entrega elaborada. Cada etapa introduz uma nova camada de ofuscação antes que o malware final chegue. Após a execução do arquivo HTA, ele busca um carregador JavaScript de um domínio controlado pelo atacante, que então puxa e executa um VBScript ofuscado.
Este VBScript usa polimorfismo do lado do servidor — entregando uma versão ligeiramente diferente do código em cada solicitação para derrotar a detecção baseada em assinatura. Um segundo VBScript mais complexo, com mais de 400 linhas, atua como o trabalho da operação, coletando o endereço IP da vítima, nome do host, nome de usuário e versão do OS antes de enviar esses dados para um servidor de comando e controle.
O script AutoIT então descriptografa um blob criptografado AES-192 usando uma chave derivada do valor de seed 99521487 e carrega o DLL resultante diretamente na memória — esse DLL é o Trojan bancário. Ele se comunica com seu servidor C2 sobre um protocolo TCP personalizado, envolvendo comandos em tags estruturadas, com todo o tráfego criptografado através de um cipher XOR stateful.
Evidências e limites
O output é enquadrado entre marcadores duplos "##", um padrão raro o suficiente no tráfego legítimo para funcionar como uma assinatura de detecção de rede confiável. Analistas notaram que a estrutura rígida e repetitiva do cipher na verdade o torna mais fácil de capturar com uma regra IDS padrão.
O worm de e-mail também colhe endereços de contato da caixa de entrada da vítima através do namespace MAPI e envia e-mails de phishing para cada um, carregando um PDF malicioso que reinicia todo o ciclo de infecção. Os e-mails de phishing distribuídos pelo worm são escritos em espanhol e elaborados como faturas falsas ou documentos comerciais confidenciais visando destinatários mexicanos.
Impacto e alcance
A campanha tem um impacto significativo na América Latina, especialmente no México, onde a maioria das vítimas está localizada. A conexão com o Brasil sugere que grupos criminosos brasileiros podem estar operando ou colaborando com atores mexicanos, ampliando o alcance geográfico da ameaça.
As consequências incluem roubo de credenciais bancárias, perda financeira direta e comprometimento de sistemas corporativos que podem ser usados como pivôs para ataques adicionais. A natureza do worm significa que a propagação pode ser rápida dentro de redes de e-mail corporativas.
Medidas de mitigação recomendadas
Equipes de segurança devem bloquear a execução de arquivos HTA de fontes não confiáveis e monitorar de perto a atividade suspeita de mshta. A implantação das regras YARA publicadas para o Trojan Delphi Horabot e o carregador AutoIT, juntamente com a regra Suricata que visa o padrão de tráfego C2 duplo "##", ajudará a detectar infecções cedo.
Todos os indicadores de comprometimento compartilhados — incluindo os domínios controlados pelo atacante e endereços de socket — devem ser adicionados a listas de bloqueio de rede sem demora. O treinamento de conscientização do usuário sobre iscas de CAPTCHA falso e anexos PDF com botões embutidos permanece uma camada crítica de defesa.
Implicações para cibersegurança e governança de IA
Este caso reforça a necessidade de monitoramento de tráfego de rede para padrões de comunicação C2 incomuns e a importância de restringir a execução de scripts e arquivos executáveis em endpoints. A análise de tráfego de rede deve ser capaz de identificar padrões de criptografia XOR e estruturas de tags incomuns.
Perguntas frequentes
Como identificar se meu sistema foi infectado? Procure por execução de mshta, arquivos HTA e tráfego de rede com padrões de tags "##".
Devo reportar à polícia? Sim, devido ao envolvimento financeiro e potencial de roubo de dados, reporte ao CERT.br e às autoridades locais.