Malware evolui e usa IA para criar vírus que ataca via WhatsApp Web no Brasil

Uma análise da empresa de cibersegurança Trend Micro estudou a campanha maliciosa Water Saci, conhecida por entregar o malware SORVEPOTEL e se propagar pelos contatos de computadores invadidos pelo WhatsApp Web, e notou evoluções preocupantes nos seus métodos.

• O que é phishing e como se proteger?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

Segundo os pesquisadores, os hackers mudaram de tática ao trocar de código PowerShell para o Python, com indicações do uso de IA na confecção dos novos malwares. Isso permitiu uma maior compatibilidade com navegadores, uma melhor resposta a erros e automação mais rápida do espalhamento por WhatsApp Web.

Water Saci e seus novos métodos

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

A campanha Water Saci se baseia em engenharia social, no convencimento do usuário para que interaja com o conteúdo malicioso entregue especificamente para usuários brasileiros. Enquanto vários receberam o malware em arquivos ZIP e PDF, incluindo até mesmo mensagens de atualização do Adobe Acrobat para fazer com que o usuário clique, há novos desenvolvimentos.

Alguns casos incluíram o formato .hta, que executa o script embutido imediatamente após aberto, sem necessidade de mais interações do usuário. Nesse caso, é trazido um script do Visual Basic (VB) que usa duas camadas de ofuscamento para fugir da detecção e evitar análises de antivírus.

Uma vez no computador, são revelados comandos para criar um arquivo na pasta C:tempinstalar.bat, trazendo um instalador .MSI do servidor C&C hacker e o script Python malicioso.

Scripts Autolt são usados para checar a língua usada pelo sistema: se for Português Brasileiro, o programa roda, mas, caso contrário, é exibida uma mensagem de erro na língua detectada (inglês, espanhol ou desconhecida), fechando o programa. Em seguida, a função DETECTARBANCO é rodada, buscando sinais do uso de aplicativos bancários na máquina. 

São verificados também acessos do navegador a sites de banco e antivírus na máquina, cobrindo até 20 aplicativos de segurança diferentes. Além de instituições como Banco do Brasil, Bradesco, Itaú e Santander, também são buscadas plataformas como Mercado Pago, Binance, Bitcoin Trade e Blockchain.com, ou seja, ferramentas de bolsa de valores e criptomoedas. Você pode conferir a lista completa no site da Trend Micro.

A evolução da campanha mostra a sofisticação dos métodos dos golpistas, integrando automação com evasão de detecção e acesso do computador a longo prazo. Aos usuários, é recomendado desabilitar downloads automáticos no WhatsApp, controlar a transferência de arquivos em aplicativos pessoais (com firewall ou antivírus) e se educar sobre a cibersegurança.

Visto que a maioria dos alvos é corporativa, os pesquisadores também recomendam lançar campanhas informativas aos funcionários, melhorando protocolos de segurança de e-mail e comunicações diversas, implementar autenticação por duas etapas e limitar os aplicativos permitidos em dispositivos pessoais usados para trabalho, por exemplo.

Veja mais:

• Brasil é alvo de novo vírus que se espalha sozinho pelo WhatsApp Web
• Mais de 30 falhas em assistentes de programação com IA permitem roubo de dados
• Sua IA de programação pode estar obedecendo a hackers sem você saber

VÍDEO | O app do WHATSAPP (como conhecemos) vai DEIXAR de EXISTIR no Windows: e agora?

Fonte: Trend Micro