巴西黑客团伙Water Saci又出手了。这次他们瞄准拉美和欧洲的西班牙语企业用户。伪装成法院传票的钓鱼邮件四处飞。附件是个密码保护PDF。受害者点开嵌入链接。自动下载ZIP包。里面藏着HTA和VBS脚本。
VBS先干啥?查环境。检测Avast杀毒。没问题就从远程服务器拉payload。AutoIt加载器跳出来。解密.ia和.at文件。最终跑起Casbaneiro的staticdata.dll。还有Horabot的at.dll。Casbaneiro主攻银行木马。Horabot专职传播。
BlueVoyant研究员Thomas Elkins和Joshua Green刚拆解了这套链条。攻击从2025年10月Trend Micro首报Water Saci开始。巴西人玩得溜。WhatsApp自动化脚本刷零售用户。企业端转email劫持。拉美是主战场。欧洲也中枪。
邮件主题直击痛点。法院召唤谁敢不看?PDF密码诱导你点链接。ZIP解压HTA。VBS绕分析。环境稳了。拉AutoIt。DLL落地。Casbaneiro连C2服务器。吐出PowerShell脚本。Horabot接棒。从Outlook偷联系人。群发钓鱼。
创新在哪?不发死文件。脚本POST到tt.grupobedfs[.]com的PHP API。传四位随机PIN。服务器实时锻造PDF。还是西班牙法院款。感染主机收新鲜货。用受害者自己邮箱发出去。精准。隐蔽。
Horabot还有at.dll副手。劫Yahoo、Live、Gmail。Outlook转发。传播自2020年11月起。水蛭式扩散。Kaspersky最近抓到ClickFix把戏。假浏览器修复。跑HTA。端掉Casbaneiro+Horabot。
团伙叫Augmented Marauder。双轨并进。WhatsApp推Maverick链条。ClickFix和email两条腿走路。企业防火墙绕得飞起。拉美零售用户天天中招。欧洲企业外围已破。
我挖过巴西黑客窝。Water Saci不新鲜。早用WhatsApp Web蠕虫化Casbaneiro。2026年4月这波升级狠。动态PDF像工厂流水线。PIN随机。每次邮件独一无二。杀毒签名追不上。企业邮箱过滤形同虚设。
Outlook联系人成金矿。偷来就发。链条闭环。受害者变帮凶。西班牙语区最惨。巴西人本土优势。拉美银行卡数据流水。欧洲跨国公司遭殃。
防护咋办?PDF附件全拒。HTA、VBS禁用。邮箱沙箱必备。C2域名拉黑榜:tt.grupobedfs[.]com。企业端监控PowerShell滥用。Horabot查Avast是线索。早杀早好。
ClickFix社会工程学玩残。用户总信“浏览器坏了修修”。教育跟不上技术。黑客迭代快。PDF动态生。WhatsApp自动化。企业安全别睡大觉。
全球网安警钟。巴西团伙输出全球。拉美欧洲已乱。下一站呢?中文区企业也得盯紧。邮箱是门。别让法院信开门揖盗。BlueVoyant报告铁证。攻击链条清晰。复制风险高。
加密圈也悬。钓鱼邮件天天刷屏。BTC现报$67,593(24h -0.59%)。钱包私钥一丢光。类似套路瞄准交易所员工。拉美用户爱币。Casbaneiro变种说来就来。钱多事多。安全第一。
Water Saci不收手。2026年4月Ravie Lakshmanan在The Hacker News爆料。细节满满。企业醒醒。动态诱饵时代。静态规则废了。行为分析上。别等中招哭。