Cuidado com o Boto: novo golpe no WhatsApp seduz vítimas com linguagem casual

Cuidado ao clicar em qualquer tipo de arquivo que chega até você pelo WhatsApp: especialistas da Unidade de Pesquisa da Acronis (TRU) identificaram uma nova campanha hacker que usa a plataforma de mensagens para espalhar um malware bancário.

• WhatsApp corrige, silenciosamente, problema de privacidade antigo
• Com 56 mil downloads, pacote falso de API sequestra contas do WhatsApp

Batizada de “Boto Cor-de-Rosa”, a campanha combina engenharia social e automação para se infiltrar nos contatos da vítima e, dessa forma, disseminar um software malicioso. O objetivo é roubar dados financeiros dos alvos para aplicar golpes.

Segundo os pesquisadores, a operação marca uma “evolução significativa” de estratégias criminosas, já que o WhatsApp, especialmente a versão web, vem sendo explorado como um canal de propagação de malware, principalmente no Brasil, aumentando as chances de mais pessoas caírem na armadilha.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Como o ataque ocorre

A análise da Acronis detectou que o ataque começa quando a vítima recebe uma mensagem no WhatsApp que contém um arquivo ZIP malicioso. O texto enviado impressionou os pesquisadores pelo nível de engenharia social utilizado, trazendo uma linguagem casual e convidativa para criar um vínculo de confiança, como “segue o arquivo solicitado” e “qualquer dúvida, estou à disposição”.

A mensagem ainda consegue se adequar ao horário local, escolhendo uma saudação apropriada para o momento do dia que o envio está sendo feito. Assim, o cenário criado aumenta as chances de que a pessoa clique no arquivo ZIP contaminado, despertando uma cadeia de infecção que implementa o malware.

O que acontece é que, uma vez o arquivo comprometido é extraído, um script em Visual Basic, que vem camuflado de um arquivo legítimo, passa a ser executado, instalando dois componentes importantes para concretizar a ação: um payload bancário do Astaroth e um módulo de propagação baseado em Python.

Na prática, esse módulo de propagação vai coletando a lista de contatos da vítima no WhatsApp de maneira automática, enquanto envia o mesmo arquivo malicioso para todos os números. Já o payload bancário tem uma ação mais silenciosa, servindo como um espião da atividade do usuário para conseguir ativar recursos que possibilitem o roubo de credenciais no momento que identifica acessos a sites ou aplicativos financeiros.

Em tempo real

Os pesquisadores da TRU também observaram que o malware consegue registrar métricas em tempo real, monitorando o próprio desempenho durante a operação. Isso significa que o software malicioso identifica o número de mensagens bem-sucedidas que foram enviadas e quais foram as falhas, assim como filtra remotamente a lista de contatos da vítima para servidores.

O monitoramento por si só ocorre a partir do registro de estatísticas de mensagens por minutos. Outra métrica é avaliada a cada 50 mensagens enviadas, com o script calculando a porcentagem de contatos que foram processados e o desempenho da disseminação considerando uma taxa de progresso, que é atualizada constantemente.

De acordo com a Acronis, a ameaça já foi bloqueada, mas os especialistas reforçam a importância de desconfiar de arquivos não solicitados que chegam por meio do WhatsApp e outros aplicativos de mensagem, mesmo que eles sejam enviados por contatos conhecidos. Isso pode ser a porta de entrada para que softwares maliciosos roubem suas informações sigilosas.

Leia também:

• Campanha de phishing rouba contas no WhatsApp via código de pareamento
• Golpe do "compartilhamento de tela" usa WhatsApp para roubar senhas ao vivo
• Malware evolui e usa IA para criar vírus que ataca via WhatsApp Web no Brasil