Alerta Cibernético: Vírus do WhatsApp Distribui Trojan Python que Drena Carteiras de Cripto e Contas Bancárias no Brasil
Uma nova ameaça digital está varrendo o Brasil - e suas criptomoedas podem estar na linha de frente.
O Cavalo de Troia Python
Desenvolvido em Python, o malware se disfarça de mensagem legítima no WhatsApp, infectando dispositivos com precisão cirúrgica. Uma vez instalado, o código malicioso vasculha credenciais bancárias e chaves privadas de carteiras digitais.
Alvo Preferencial: Investidores de Cripto
O trojan demonstra sofisticação incomum ao priorizar aplicativos de exchanges e wallets móveis. Dados sensíveis são extraídos antes que as vítimas percebam a violação - perfeito para quem trata segurança digital como opcional.
Proteção no Mundo Descentralizado
Enquanto bancos tradicionais oferecem algum nível de reembolso, ativos criptográficos roubados desaparecem para sempre na blockchain. Mais uma lembrança dolorosa de que na economia descentralizada, a segurança é totalmente responsabilidade do usuário.
O timing é cruelmente irônico - justamente quando mais brasileiros adotam criptomoedas como proteção contra instabilidade financeira, um simples clique no WhatsApp pode anular anos de acumulação de patrimônio.
O ladrão de Eternidade oculta sua atividade por meio de VBScript.
Segundo o relatório da Trustwave SpiderLabs, o ataque começa com um VBScript ofuscado, cujos comentários estão escritos principalmente em português.
O worm em Python usa um código mais curto e ágil para automatizar a atividade do WhatsApp,traclistas de contatos completas por meio das bibliotecas wppconnect, mensagens de saudação personalizadas com base na hora do dia e inserindo os nomes dos destinatários em mensagens contendo anexos maliciosos.
Uma função central, chamada “obter_contatos”, permite que o malware roube toda a agenda de contatos do WhatsApp . Para cada contato, o worm coleta o número de telefone e o nome para descobrir se a pessoa está salva localmente e se possui um dispositivo que possa ser invadido.
Os dados são transmitidos para um servidor controlado pelo atacante por meio de uma solicitação HTTP POST, onde, após a coleta, um worm envia um anexo malicioso para cada contato usando um modelo de mensagem predefinido.
O instalador MSI implanta um trojan bancário localizado.
A segunda etapa do ataque começa quando o instalador MSI instala vários componentes, incluindo um script AutoIt que verifica imediatamente se o idioma do dispositivo está definido como português brasileiro.
Nos casos em que o sistema não atende a essa condição, o malware é desativado, o que pode significar que os agentes da ameaça pretendem atingir apenas usuários no Brasil.
Quando a verificação de localidade é aprovada, o script examina os processos em execução e as chaves de registro em busca de indícios de ferramentas de segurança. Ele também cria um perfil do dispositivo e envia detalhes do sistema de volta para o servidor de comando e controle dos invasores.
O ataque termina com o malware injetando o payload Eternidade Stealer no “svchost.exe” usando um processo que oculta código malicioso em processos legítimos do Windows, conhecido como “hollowing”.
A Eternidade Stealer monitora continuamente janelas e processos ativos em busca de strings relacionadas a serviços financeiros, incluindo alguns dos maiores bancos do Brasil e plataformas fintech internacionais.
Algumas das empresas financeiras mencionadas pela Trustwave incluem Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe, ao lado das empresas de criptografia Binance, Coinbase, MetaMask e Trust Wallet.
Os trojans bancários brasileiros permanecem, em sua maioria, inativos até que a vítima abra um dos aplicativos financeiros. Nesse momento, eles ativam sobreposições ou rotinas de coleta dedentsendo completamente invisíveis para usuários comuns ou ferramentas automatizadas de análise de segurança.
O geofencing de malware limita os ataques a usuários brasileiros do WhatsApp.
A Trustwave SpiderLabs também compartilhou estatísticas do painel, que revelaram que o malware restringe o acesso a sistemas fora do Brasil e da Argentina. Das 454 tentativas de comunicação registradas, 452 foram bloqueadas devido a regras de geolocalização. Apenas duas conexões foram permitidas e redirecionadas para o domínio malicioso real, e as tentativas bloqueadas foram redirecionadas para uma página de erro genérica.
Distribuição de sistemas operacionais nos dados de painel observados. Fonte: TrustwaveDas tentativas de conexão falhas, 196 vieram dos Estados Unidos, seguidos pela Holanda, Alemanha, Reino Unido e França. O Windows representou a maior parte das tentativas de conexão do sistema, com 115, embora os registros também incluíssem 94 conexões em macOS, 45 em Linux e 18 em dispositivos Android.
A descoberta ocorre semanas depois de a Trustwave ter encontrado outra operação denominada “Water Saci” se espalhando pelo WhatsApp Web usando um worm chamado SORVEPOTEL. Esse malware é um canal para o Maverick, um trojan bancário baseado em NET que veio de uma família anterior conhecida como Coyote, conforme relatado na semana passada.
Junte-se a uma comunidade premium de negociação de criptomoedas gratuitamente por 30 dias - normalmente US$ 100/mês.
