Falso e-mail do WhatsApp infecta computadores com vírus bancário

A ESET, empresa especializada em detecção de ameaças, está emitindo um alerta sobre um e-mail falso que tenta fazer as vítimas acreditarem que é uma comunicação oficial do WhatsApp, mas que tem como objetivo distribuir o cavalo de Troia bancário Grandoreiro.

• Mais de 90% dos malwares chegam por conexões seguras
• Reino Unido planeja investir 5 bilhões de euros no setor de defesa virtual
• Mais de 40 bilhões de ameaças virtuais foram bloqueadas no 1º semestre de 2021

Os vírus do tipo cavalo de Troia exigem ações de suas vítimas para se instalar nas máquinas, como execução de um arquivo recebido por e-mail. Esses golpes também fazem uso de técnicas de engenharia social, como phishing, para induzir os usuários a caírem nas fraudes.

Segundo o alerta da ESET, a mensagem convida os destinatários a realizarem o download de uma cópia do backup de conversas e do histórico de chamadas do WhatsApp. No e-mail, um anexo com o nome de “Open_Document_513069.html” é disponibilizado, e quando ele é aberto o usuário é redirecionado para um site no qual um arquivo .zip é baixado.

O arquivo .zip, quando aberto, executa um instalador MSI que é responsável por baixar o Grandoreiro, infectando a máquina da vítima.

De acordo com os dados da análise realizada pela ESET, as infecções pela variante do cavalo de Troia bancário encontrada no e-mail falso do WhatsApp estão em alta principalmente na Espanha, no México e do Brasil.

O chefe do Laboratório de segurança da ESET, Camilo Gutiérrez Amaya, destaca, porém, que o encontro da mesma variante do Trojan em diferentes países não significa que a mesma campanha de distribuição está sendo usada neles, mas a possibilidade não pode ser descartada. Amaya também destaca que por conta dessa incerteza, é importante empresas e usuários estarem informados sobre as campanhas de malware ativas.

O relatório da ESET não descarta que existam e-mails em circulação com diferentes assuntos, citando como exemplo casos de distribuição do Grandoreiro em mensagens temáticas sobre a pandemia do covid-19, em meados de 2020.

O cavalo de Troia Grandoreiro

O Grandoreiro, segundo análise publicada pela ESET, é um cavalo de troia bancário escrito na linguagem de programação Delphi e, durante 2020, encontrado principalmente no Brasil, Espanha, México e Peru. Depois de infectar o computador da vítima, o principal objetivo do Grandoreiro é roubar credenciais bancárias por meio de pop-ups falsos que fazem a vítima acreditar que é o site oficial do banco, configurando golpes de phishing.

Além disso, assim como outros cavalos de Troia bancários ativos na América Latina, o Grandoreiro possui funcionalidades de backdoor, ou seja, acesso ao sistema infectado e controle remoto da máquina, que permitem ao criminoso realizar outras ações maliciosas no computador comprometido, como, por exemplo:

• Como registro de pressionamentos de tecla (keylogging);
• Simulação de ações de mouse e teclado, fazendo o computador clicar em coisas que não era a intenção do usuário;
• Logout da vítima;
• Bloqueia o acesso a determinados sites;
• Ou mesmo reinicialização do computador.

O Grandoreiro é identificado pelas principais soluções antivírus do mercado, como Windows Defender, programas da Kaspersky, Avast, AVG e ESET. Caso receba um e-mail suspeito, evite baixar anexos disponibilizados pela mensagem e, por segurança, realize um escaneamento de ameaças dos softwares de proteção em sua máquina.