O vírus que se espalha no WhatsApp Web, ao menos desde setembro, usa uma tela falsa para roubar dados de clientes de mais de duas dúzias de bancos brasileiros, além de corretoras de criptomoedas, incluindo senhas e outras credenciais de chegada. As instituições financeiras que estão entre os alvos não foram divulgadas em estudo da Kaspersky.
O ataque tem início com o download de um registo compactado, no formato “.zip”, que contém um trilho no formato “.lnk”. É a realização desse registo que invoca o código malicioso, que assume o controle do navegador da máquina infectada, acessa o WhatsApp Web e envia o registo “.zip” a todos os contatos da vítima.
O programa malicioso foi escrito com comentários em português brasílico e compartilha trechos do código de outro vírus pátrio desvelado no ano pretérito, de contrato com análises das empresas de cibersegurança Sophos e Kaspersky. O novo vírus foi batizado de maverick.
O vírus não funciona em celulares e mira somente máquinas brasileiras —há instruções para acionar o programa somente quando o teclado tiver “ç” e data no padrão do Brasil. A mensagem padrão enviada pelo grupo criminoso diz: “Visualização permitida somente em computadores.”
“Caso esteja utilizando o Chrome, poderá ser solicitado para ‘manter’ o registo por se tratar de um registo zipado”, acrescenta a mensagem fraudulenta.
O vírus foi desvelado pela empresa de cibersegurança Trend Micro no último dia 3, posteriormente circularem relatos sobre o ataque nas redes sociais. Ainda assim, o programa malicioso continua se espalhando e já registrou mais de 60 milénio infecções, de contrato com a Kaspersky.
Tanto a Sophos quanto a Kaspersky dizem que já atualizaram seus antivírus para bloquear o download do registo “.zip” responsável pela infecção.
A pessoa que já foi infectada deve extinguir os arquivos baixados, porque o vírus foi programado para monitorar o computador da vítima toda vez que a máquina for ligada.
“Quando a vítima entra no site do banco, o vírus congela a tela do computador e mostra uma mensagem de segurança falsa, porquê se fosse o banco pedindo as credenciais dela para validar alguma coisa”, explica o comentador da Kaspersky Anderson Leite. Dessa maneira, o maverick rouba os dados da vítima sem precisar varrer o computador infectado.
Tudo é feito por meio de servidores na internet, sem deixar vestígios. A tomada de controle do WhatsApp ocorre por meio de uma instrumento de automação de navegadores, chamada selenium. Por isso, o aplicativo de mensageria interpreta que é a vítima acessando sua conta.
A Meta diz que está trabalhando para tornar o WhatsApp um lugar mais seguro, e que possui camadas de proteção “que oferecem mais contexto sobre com quem você está conversando ao receber uma mensagem de alguém que você não conhece –além de proteger suas conversas pessoais com a criptografia de ponta a ponta”.
Procurada, a Febraban (Federação Brasileira de Bancos) diz que o sistema bancário possui “robustas estruturas de monitoramento de seus sistemas e utiliza o que há de mais moderno em termos de tecnologia e segurança da informação”, porquê mensageria criptografada, autenticação biométrica e tokenização, além de tecnologias porquê big data, analytics e lucidez sintético em processos de prevenção de riscos.
Ainda de contrato com a Kaspersky e com a Sophos, o maverick usa vários trechos do código do vírus brasílico coyote, desvelado pela equipe da Kaspersky no Brasil em 2024.
Diferentemente do maverick, o coyote já estava pronto para operar em outros países e mirava mais de 60 bancos. “É uma evidência de que o trabalho pertence à mesma quadrilha ou a um grupo relacionado”, disse Leite, da Kaspersky.
VEJA COMO SE PROTEGER
A empresa recomenda as seguintes medidas de prevenção:
- Desative downloads automáticos no WhatsApp para evitar a buraco eventual de arquivos maliciosos
- Restrinja transferências de arquivos em aplicativos pessoais nos dispositivos corporativos
- Fique vigilante a mensagens suspeitas, principalmente aquelas que solicitam permissões em navegadores ou orientam ações fora do geral
- Garanta que seu antivírus esteja sempre atualizado, tanto no celular quanto no computador
- Não abra anexos recebidos pelo WhatsApp de inopino. Antes, confirme com a pessoa se o envio foi propositado
- Pergunte se a pessoa realmente enviou o registo. Em muitos casos, o usuário não tem conhecimento de que sua conta foi invadida
