Alerta de Cibersegurança: Novo Malware Ataca Brasileiros pelo WhatsApp Web — Proteja-se Agora!

Pesquisadores em cibersegurança identificaram um novo malware direcionado a usuários brasileiros através do WhatsApp Web. A ameaça explora vulnerabilidades no navegador para roubar dados sensíveis — e, sim, é mais eficiente que o IBGE coletando seus dados fiscais.

Como o malware age: O ataque começa com um link suspeito enviado por contatos comprometidos. Uma vez clicado, o malware se instala silenciosamente e começa a extrair informações como credenciais de login e dados bancários.

Por que o Brasil? O país é um alvo frequente devido à alta adoção do WhatsApp e à falta de conscientização sobre segurança digital. Enquanto isso, os bancos tradicionais continuam cobrando taxas absurdas por serviços que nem sequer são seguros.

Proteja-se: Atualize seu navegador, evite clicar em links desconhecidos e use autenticação em dois fatores. Porque, no fim do dia, seu dinheiro vale mais que a confiança cega no sistema.

Carregador de malware Maverick oculto por meio de ofuscação classic .

De acordo com uma postagem no blog publicada na última segunda-feira pela equipe de pesquisa da CyberProof, o carregador possui tokens divididos combinados com PowerShell codificado em Base64 e UTF-16LE. Ele verifica a presença de ferramentas de engenharia reversa e, caso analistas estejam presentes, o carregador se encerra automaticamente. Caso contrário, ele baixa um worm chamado SORVEPOTEL e um trojan bancário conhecido como Maverick.

A Trend Micro documentou pela primeira vez o Maverick, um trojan bancário que monitora a atividade na web, no início do mês passado, e o vinculou a um grupo que denomina Water Saci. O SORVEPOTEL é um malware de propagação automática que se espalha pelo WhatsApp Web , distribuindo um arquivo ZIP contendo o código malicioso.

O Maverick examina as abas ativas do navegador em busca de URLs que correspondam a uma lista pré-definida de instituições financeiras latino-americanas a partir do Brasil. Se uma correspondência for encontrada, o trojan busca comandos subsequentes em um servidor remoto e solicita dados do sistema para enviar páginas de phishing destinadas a coletardent.

A equipe de segurança da Kaspersky, empresa de software antivírus, detectou diversas sobreposições de código entre o Maverick e um malware bancário mais antigo chamado Coyote. A empresa britânica de software de segurança Sophos afirmou que existe a possibilidade de o Maverick ser uma evolução do Coyote, mas a Kaspersky o considera uma ameaça distinta para usuários do WhatsApp Web no Brasil.

Como o Maverick sequestra o WhatsApp Web

A pesquisa da CyberProof afirmou que a campanha evita binários .NET em favor de VBScript e PowerShell. O arquivo ZIP contém um downloader VBScript ofuscado chamado Orcamento.vbs, que os pesquisadores associam ao SORVEPOTEL. 

O VBScript executa um comando do PowerShell que roda o arquivo tadeu.ps1 diretamente na memória, enquanto o payload do PowerShell automatiza o Chrome por meio do ChromeDriver e do Selenium. Ele assume o controle da do WhatsApp Web da vítima e distribui o arquivo ZIP malicioso para todos os contatos.

O malware encerra todos os processos do Chrome em execução e copia o perfil legítimo do Chrome para um espaço de trabalho temporário antes de enviar qualquer mensagem. 

“Esses dados incluem cookies, tokens de autenticação e a sessão de navegador salva, permitindo que o malware ignore a autenticação do WhatsApp Web e dê ao hacker acesso imediato à conta do WhatsApp da vítima, sem alertas de segurança ou leitura de código QR”, concluiu a Trend Micro, empresa nipo-americana de software de segurança cibernética.

O script, após assumir o controle do aplicativo web, exibe um banner enganoso com o rótulo “WhatsApp Automation v6.0” para ocultar suas operações em andamento. O código PowerShell recupera modelos de mensagens de um servidor de comando e controle (C2) e extrai a lista de contatos da vítima. 

O loop de propagação percorre cada contato coletado antes de enviar cada mensagem e após verificar se o C2 emitiu um comando de pausa. As mensagens são personalizadas substituindo variáveis por saudações baseadas em tempo e nomes de contato.

A Trend Micro observa que a campanha utiliza um sofisticado sistema de comando e controle remoto (C2) que suporta gerenciamento em tempo real. Os operadores podem pausar, retomar e monitorar a propagação para executar operações coordenadas em hosts infectados.

O malware Maverick só é implantado após a confirmação de que o cliente está no Brasil. 

A Cyberproof e a Trend Micro confirmaram que o Maverick só é instalado após a confirmação de que o host está no Brasil, por meio da verificação do fuso horário, idioma, região do sistema e formato de data e hora. A Trend Micro também constatou que a cadeia restringe a execução a sistemas em português. 

De acordo com o relatório da Trend Micro, a infraestrutura de comando e controle (C2) inclui canais baseados em e-mail, o que aumenta sua redundância e dificulta sua detecção. A CyberProof também encontrou evidências de que o malware tinha como alvo hotéis no Brasil. As empresas de segurança temiam que o agente malicioso pudesse ampliar seus objetivos para o setor hoteleiro, muito frequentado por alvos de alto valor.

As buscas no VirusTotal ajudaram a equipe a coletar amostras relacionadas e a vincular suas descobertas a pesquisas públicas da Kaspersky, Sophos e Trend Micro. No entanto, a análisedent da empresa de segurança CyberProof revelou que a cadeia completa de infecção não pôde ser observada porque os arquivos do servidor de comando e controle (C2) não foram entregues durante a investigação.

Cadastre-se na Bybit agora e ganhe um bônus de US$ 50 em minutos