Nova campanha busca roubar credenciais bancárias por meio do WhatsApp

Uma nova campanha maliciosa apelidada de ComprovanteSpray está se disseminando rapidamente pelo WhatsApp, tendo como principal alvo credenciais e informações financeiras. O golpe cibernético usa um método de execução de código na memória do dispositivo (fileless execution), dificultando a detecção por soluções tradicionais de segurança.

O alerta foi feito recentemente em um relatório pelo time de inteligência de ameaças (Heimdall) da ISH Tecnologia, companhia nacional de cibersegurança. Segundo o documento, o ataque tem como maiores alvos os setores financeiro, e-commerce, empresas e usuários finais.

“O impacto financeiro potencial é significativo, dada a capacidade do ataque de comprometer informações sigilosas e facilitar fraudes financeiras”, diz em comunicado Caíque Barqueta, especialista em inteligência de ameaças da ISH.

Leia mais: Nova era de proteção de dados e cibersegurança: como fica a Cohesity após a aquisição da Veritas

Segundo a empresa, a campanha começa com o envio de uma mensagem pelo WhatsApp, geralmente acompanhada de um texto alertando sobre um suposto comprovante bancário pendente. O anexo, um arquivo .zip, contém um malware disfarçado. Quando o usuário baixa e extrai o arquivo, um comando em PowerShell – uma ferramenta nativa do Windows usada para automatizar tarefas e executar scripts – é ativado automaticamente, sem que ele perceba.

O comando baixa e executa um script malicioso diretamente na memória do dispositivo, evitando a detecção por antivírus convencionais e permitindo que os criminosos coletem informações sensíveis, como credenciais bancárias e dados financeiros.

“A ampla utilização do WhatsApp potencializa o alcance da campanha, tornando-se uma ameaça significativa tanto para usuários individuais quanto para empresas. Os criminosos aproveitam a confiança e a velocidade da comunicação via aplicativo para maximizar a taxa de infecção e dificultar a contenção do ataque”, explica Barqueta.

A ISH diz que os criminosos usam diversos vetores de ataque para aplicar golpes de falsificação de identidade no WhatsApp. Eles passam por técnicas de engenharia social, coleta de dados em redes sociais e clonagem de perfil de WhatsApp, além de ‘spoofing’ (a falsificação de um número de telefone). Bots e inteligência artificial também são ferramentas comuns.

Prevenção e mitigação

Para minimizar os riscos dessa e de outras ameaças similares, a ISH Tecnologia recomenda:

• Desconfiar de mensagens que solicitam dinheiro com urgência ou que contenham anexos inesperados;
• Verificar a identidade do remetente antes de abrir qualquer arquivo;
• Ativar a verificação em duas etapas no WhatsApp para maior segurança;
• Evitar baixar arquivos de fontes desconhecidas ou clicar em links suspeitos recebidos via mensagens instantâneas.

O boletim completo pode ser lido nesse link (em pdf).

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!