Investigadores de times de cibersegurança estão estudando nos últimos dias uma nova ameaça que utiliza o WhatsApp como forma de disseminação. A ameaça foi identificada pela Trend Micro em uma campanha que com foco em usuários no Brasil.
Uma campanha com forte foco no Brasil
A Trend Micro detectou inicialmente 477 infecções em uma campanha que foi nomeada Water Saci; destas, 457 ocorreram no Brasil. Um outro indicativo de que a campanha tem como alvo principal vítimas no país é o uso do domínio sorvetenopote[.]com como domínio dos servidores usados para espalhar o malware – que por isso ganhou o nome SORVEPOTEL.
Como o SORVEPOTEL usa o WhatsApp para infectar as vítimas?
Na campanha identificada, o ataque começa com mensagens convincentes de phishing, normalmente em português. Essas mensagens orientam a vítima a baixar um arquivo que em muitos casos imitam um comprovante ou um orçamento ou até mesmo arquivos relacionados a aplicativos de saúde, veja um exemplo abaixo:
Repare que a mensagem afirma que a visualização do arquivo só pode acontecer em computadores. A análise do arquivo ZIP revelou uma série de componentes que são desenvolvidos para rodarem em computadores Windows, ou seja, o ataque mira este sistema operacional de forma específica.
O que acontece quando a vítima abre o arquivo?
Quando a vítima abre o arquivo no WhatsApp web ele assume a sessão ativa no computador e envia o mesmo arquivo ZIP para todos os contatos e grupos da vítima, com o objetivo claro de se disseminar o máximo possível.
No computador da vítima são implementadas ferramentas anti-análise e inicia o processo de download de mais códigos maliciosos do servidor de controle o que irá culminar na instalação de arquivos executáveis desenvolvidos para
- manter persistência no computador
- checar pela presença de acesso a bancos e instituições financeiras brasileiras
- monitorar a atividade do usuário e acesso a esses sites
- potencialmente roubar credenciais bancárias
Leia a análise completa no site da Trend Micro
O que fazer para não ser vítima desse e de outros tipos de malware via WhatsApp?
Para se proteger, é importante entender o phishing, e por que ele é um dos meios favoritos dos criminosos cibernéticos para obter o que querem.
Phishing é uma técnica que usa a engenharia social, uma metodologia baseada na confiança das pessoas.
O phishing pode ser usado de diversas formas, em inúmeros canais de comunicação. O ponto em comum é que ele usa do medo, da dúvida ou da urgência para fazer com que a pessoa tome uma ação.
Em períodos de compras como a Black Friday, o Natal ou o Dia das Mães, criminosos podem usar sites falsos e mensagens oferecendo promoções vantajosas para atrair suas vítimas e roubar dados pessoais e bancários. Mas o phishing também pode ser uma mensagem de voz simulando uma empresa ou familiar, uma mensagem via SMS contendo um boleto “atrasado” etc.
No caso do SORVEPOTEL, os golpistas usam de temas genéricos (um comprovante ou um orçamento) para induzir a vitima a baixar o arquivo.
Evitar o phishing requer atenção e uma boa dose de desconfiança.
Veja algumas medidas que podem evitar que você se torne uma vítma.
- Desativar os downloads automaticos no WhatsApp
- desconfiar de mensagens que precisam de permissões para serem acessadas
- caso seja um contato conhecido, confirme por outros meios se a mensagem foi intencional
- desconfie de pedidos que envolvem uma ação urgente: pedidos de PIX, compras negadas, problemas com o CPF.
- não compartilhe dados pessoais, nem senhas, via mensageiros instantâneos ou ligações telefônicas
Em nota, o WhatsApp se manifestou sobre o caso SORVEPOTEL:
“Independentemente do serviço de mensagens que você use, só clique em links ou abra arquivos de pessoas que você conhece e confia. Estamos sempre trabalhando para tornar o WhatsApp o lugar mais seguro para a comunicação privada, e é por isso que criamos camadas de proteção que oferecem mais contexto sobre com quem você está conversando ao receber uma mensagem de alguém que você não conhece – além de proteger suas conversas pessoais com a criptografia de ponta a ponta.”
Líder com + 13 anos de experiência no mercado de Segurança da Informação, com formação em Gestão de Tecnologia e MBA em Cyber Security – Forensics, Ethical Hacking & DevSecOps.