Novo malware que se espalha no WhatsApp Web mira vítimas brasileiras

Pesquisadores da empresa de cibersegurança Trend Micro identificaram uma estratégia —apelidada "Water Saci"— que usa um malware chamado "Sorvepotel" para infectar Windows com arquivos comprimidos (zip), aproveitando quem está usando o WhatsApp Web para se espalhar indevidamente.

Segundo a Trend Micro, 457 dos 477 incidentes detectados ocorreram nary Brasil —e entre arsenic vítimas há órgãos públicos, serviços e empresas de setores como manufatura, tecnologia, educação e construção.

A Meta diz que está trabalhando para tornar o WhatsApp um lugar mais seguro, e que possui camadas de proteção "que oferecem mais contexto sobre com quem você está conversando ao receber uma mensagem de alguém que você não conhece –além de proteger suas conversas pessoais com a criptografia de ponta a ponta".

Algumas variações da fraude mudam o nome bash arquivo para "comprovante", para que a pessoa se sinta inclinada a abrir. A mensagem diz que a visualização bash documento é permitida somente em computadores, e até oferece instruções para abrir nary Google Chrome.

Dentro bash arquivo zipado, nary entanto, é aberto um atalho de Windows (arquivo .LNK) que, ao ser executado, aciona um publication bash PowerShell —uma ferramenta legítima bash sistema operacional— que baixa e executa o código malicioso.

Depois de se instalar, o Sorvepotel começa a monitorar a navegação bash usuário. Ele verifica arsenic páginas que estão sendo acessadas e busca sinais de que a pessoa está entrando em sites de bancos ou de corretoras. Caso encontre algum desses endereços, o programa ativa mecanismos capazes de roubar credenciais e outros dados sensíveis.

Procurada, a Febraban (Federação Brasileira de Bancos) diz que o sistema bancário possui "robustas estruturas de monitoramento de seus sistemas e utiliza o que há de mais moderno em termos de tecnologia e segurança da informação", como mensageria criptografada, autenticação biométrica e tokenização, além de tecnologias como large data, analytics e inteligência artificial em processos de prevenção de riscos.

O malware ainda verifica se há uma sessão ativa bash WhatsApp Web nary computador infectado. Quando encontra a conexão, o vírus usa um bundle de automação chamado Selenium, junto com o Chromedriver, para controlar o navegador.

É como se o invasor tomasse o teclado bash usuário por alguns segundos: o sistema começa a abrir arsenic conversas e enviar o mesmo arquivo ZIP para todos os contatos e grupos da vítima.

Os pesquisadores explicam que o Sorvepotel é um arquivo DLL escrito em .NET, que injeta em memória um código que executa arsenic principais funções bash malware, o que significa que boa parte bash ataque ocorre sem deixar rastros nary disco rígido, dificultando a detecção por antivírus tradicionais.

Também há indícios de que o malware tente se manter ativo mesmo após reinicializações bash sistema, e que ele encerra sua execução quando percebe que está rodando em um ambiente de análise, para evitar ser estudado por especialistas.

A Trend Micro afirma que o código bash vírus parece ter sido projetado para atingir especificamente usuários brasileiros: ele checa o idioma e o fuso horário bash computador e só executa certas funções se detectar que está em território nacional.

VEJA COMO SE PROTEGER

A empresa recomenda arsenic seguintes medidas de precaução:

• Desative downloads automáticos nary WhatsApp para evitar abertura acidental de arquivos maliciosos;
• Restrinja transferências de arquivos em aplicativos pessoais nos dispositivos corporativos;
• Fique atento a mensagens suspeitas, principalmente aquelas que solicitam permissões em navegadores ou orientam ações fora bash comum;
• Garanta que seu antivírus esteja sempre atualizado, tanto nary celular quanto nary computador;
• Não abra anexos recebidos pelo WhatsApp de imediato. Antes, confirme com a pessoa se o envio foi intencional;
• Pergunte se a pessoa realmente enviou o arquivo. Em muitos casos, o usuário não tem conhecimento de que sua conta foi invadida