Novo vírus que se espalha no WhatsApp Web mira vítimas brasileiras
Segundo a Trend Micro, 457 dos 477 incidentes detectados ocorreram no Brasil; veja como se proteger
Pesquisadores da empresa de cibersegurança Trend Micro identificaram uma estratégia —apelidada "Water Saci"— que usa um malware chamado "Sorvepotel" para infectar Windows com arquivos comprimidos (zip), aproveitando quem está usando o WhatsApp Web para se espalhar indevidamente.
Segundo a Trend Micro, 457 dos 477 incidentes detectados ocorreram no Brasil —e entre as vítimas há órgãos públicos, serviços e empresas de setores como manufatura, tecnologia, educação e construção.
A Meta diz que está trabalhando para tornar o WhatsApp um lugar mais seguro, e que possui camadas de proteção "que oferecem mais contexto sobre com quem você está conversando ao receber uma mensagem de alguém que você não conhece –além de proteger suas conversas pessoais com a criptografia de ponta a ponta".
Algumas variações da fraude mudam o nome do arquivo para "comprovante", para que a pessoa se sinta inclinada a abrir. A mensagem diz que a visualização do documento é permitida somente em computadores, e até oferece instruções para abrir no Google Chrome.
Dentro do arquivo zipado, no entanto, é aberto um atalho de Windows (arquivo .LNK) que, ao ser executado, aciona um script do PowerShell —uma ferramenta legítima do sistema operacional— que baixa e executa o código malicioso.
Depois de se instalar, o Sorvepotel começa a monitorar a navegação do usuário. Ele verifica as páginas que estão sendo acessadas e busca sinais de que a pessoa está entrando em sites de bancos ou de corretoras. Caso encontre algum desses endereços, o programa ativa mecanismos capazes de roubar credenciais e outros dados sensíveis.
Procurada, a Febraban (Federação Brasileira de Bancos) diz que o sistema bancário possui "robustas estruturas de monitoramento de seus sistemas e utiliza o que há de mais moderno em termos de tecnologia e segurança da informação", como mensageria criptografada, autenticação biométrica e tokenização, além de tecnologias como big data, analytics e inteligência artificial em processos de prevenção de riscos.
O malware ainda verifica se há uma sessão ativa do WhatsApp Web no computador infectado. Quando encontra a conexão, o vírus usa um software de automação chamado Selenium, junto com o Chromedriver, para controlar o navegador.
É como se o invasor tomasse o teclado do usuário por alguns segundos: o sistema começa a abrir as conversas e enviar o mesmo arquivo ZIP para todos os contatos e grupos da vítima.
Os pesquisadores explicam que o Sorvepotel é um arquivo DLL escrito em .NET, que injeta em memória um código que executa as principais funções do malware, o que significa que boa parte do ataque ocorre sem deixar rastros no disco rígido, dificultando a detecção por antivírus tradicionais.
Também há indícios de que o malware tente se manter ativo mesmo após reinicializações do sistema, e que ele encerra sua execução quando percebe que está rodando em um ambiente de análise, para evitar ser estudado por especialistas.
A Trend Micro afirma que o código do vírus parece ter sido projetado para atingir especificamente usuários brasileiros: ele checa o idioma e o fuso horário do computador e só executa certas funções se detectar que está em território nacional.
VEJA COMO SE PROTEGER
A empresa recomenda as seguintes medidas de precaução:
- Desative downloads automáticos no WhatsApp para evitar abertura acidental de arquivos maliciosos;
- Restrinja transferências de arquivos em aplicativos pessoais nos dispositivos corporativos;
- Fique atento a mensagens suspeitas, principalmente aquelas que solicitam permissões em navegadores ou orientam ações fora do comum;
- Garanta que seu antivírus esteja sempre atualizado, tanto no celular quanto no computador;
- Não abra anexos recebidos pelo WhatsApp de imediato. Antes, confirme com a pessoa se o envio foi intencional;
- Pergunte se a pessoa realmente enviou o arquivo. Em muitos casos, o usuário não tem conhecimento de que sua conta foi invadida
MATÉRIAS RELACIONADAS:
Tags
Comentários