Pesquisadores da empresa de cibersegurança Trend Micro identificaram uma estratégia -apelidada “Water Saci” – que usa um malware chamado “Sorvepotel” para infectar Windows com arquivos comprimidos (zip), aproveitando quem está usando o WhatsApp Web para se espalhar indevidamente.
Segundo a Trend Micro, 457 dos 477 incidentes detectados ocorreram no Brasil – e entre as vítimas há órgãos públicos, serviços e empresas de setores como manufatura, tecnologia, educação e construção.
A Meta diz que está trabalhando para tornar o WhatsApp um lugar mais seguro, e que possui camadas de proteção “que oferecem mais contexto sobre com quem você está conversando ao receber uma mensagem de alguém que você não conhece – além de proteger suas conversas pessoais com a criptografia de ponta a ponta”.
Algumas variações da fraude mudam o nome do arquivo para “comprovante”, para que a pessoa se sinta inclinada a abrir. A mensagem diz que a visualização do documento é permitida somente em computadores, e até oferece instruções para abrir no Google Chrome.
Dentro do arquivo zipado, no entanto, é aberto um atalho de Windows (arquivo .LNK) que, ao ser executado, aciona um script do PowerShell – uma ferramenta legítima do sistema operacional – que baixa e executa o código malicioso.
Depois de se instalar, o Sorvepotel começa a monitorar a navegação do usuário. Ele verifica as páginas que estão sendo acessadas e busca sinais de que a pessoa está entrando em sites de bancos ou de corretoras. Caso encontre algum desses endereços, o programa ativa mecanismos capazes de roubar credenciais e outros dados sensíveis.
Procurada, a Febraban (Federação Brasileira de Bancos) diz que o sistema bancário possui “robustas estruturas de monitoramento de seus sistemas e utiliza o que há de mais moderno em termos de tecnologia e segurança da informação”, como mensageria criptografada, autenticação biométrica e tokenização, além de tecnologias como big data, analytics e inteligência artificial em processos de prevenção de riscos.
O malware ainda verifica se há uma sessão ativa do WhatsApp Web no computador infectado. Quando encontra a conexão, o vírus usa um software de automação chamado Selenium, junto com o Chromedriver, para controlar o navegador.
É como se o invasor tomasse o teclado do usuário por alguns segundos: o sistema começa a abrir as conversas e enviar o mesmo arquivo ZIP para todos os contatos e grupos da vítima.
Os pesquisadores explicam que o Sorvepotel é um arquivo DLL escrito em .NET, que injeta em memória um código que executa as principais funções do malware, o que significa que boa parte do ataque ocorre sem deixar rastros no disco rígido, dificultando a detecção por antivírus tradicionais.
Também há indícios de que o malware tente se manter ativo mesmo após reinicializações do sistema, e que ele encerra sua execução quando percebe que está rodando em um ambiente de análise, para evitar ser estudado por especialistas.
A Trend Micro afirma que o código do vírus parece ter sido projetado para atingir especificamente usuários brasileiros: ele checa o idioma e o fuso horário do computador e só executa certas funções se detectar que está em território nacional.
VEJA COMO SE PROTEGER
A empresa recomenda as seguintes medidas de precaução:
– Desative downloads automáticos no WhatsApp para evitar abertura acidental de arquivos maliciosos;
– Restrinja transferências de arquivos em aplicativos pessoais nos dispositivos corporativos;
– Fique atento a mensagens suspeitas, principalmente aquelas que solicitam permissões em navegadores ou orientam ações fora do comum;
– Garanta que seu antivírus esteja sempre atualizado, tanto no celular quanto no computador;
– Não abra anexos recebidos pelo WhatsApp de imediato. Antes, confirme com a pessoa se o envio foi intencional;
– Pergunte se a pessoa realmente enviou o arquivo. Em muitos casos, o usuário não tem conhecimento de que sua conta foi invadida
SÃO PAULO, SP (FOLHAPRESS) – GABRIELA CECCHIN
