Conhecido como Casbaneiro ou Metamortmo, esse malware se disfarça para roubar dados financeiros das vítimas, e ele se espalha por meio de outro malware, o Horabot.

A atividade foi atribuída a um grupo cibercriminoso brasileiro rastreado como Augmented Marauder e Water Saci.

O coletivo foi documentado pela primeira vez pela Trend Micro em outubro de 2025, quando conduziu uma campanha focada no Whats App, também com o objetivo de roubar informações bancárias.

De acordo com a empresa de cibersegurança Blue Voyant, o grupo emprega um modelo de ataque mais abrangente.

O foco está em mecanismos personalizados de entrega e propagação que inclui o Whats App, técnicas do Click Fix e phishing centrado em e-mail.

A companhia também afirma que está evidente que, esses operadores baseados no Brasil usam a automação do Whats App baseada em scripts para comprometer usuários de varejo e consumidores na América Latina.

No entanto, eles mantêm e implantam simultaneamente um mecanismo avançado de sequestro de e-mails.

O objetivo é roubar dados corporativos tanto na América Latina quanto na Europa.

Nesta campanha tudo começa com um e-mail de phishing, focado em pessoas que falam espanhol, que utiliza mensagens que imitam intimações judiciais.

A ideia é induzir os destinatários a abrir um anexo PDF protegido por senha.

Ao clicar em um link incorporado no documento, a vítima é direcionada a um link malicioso.