Ameaça digital – Uma nova campanha de malware bancário identificada no Brasil chama atenção pelo grau de sofisticação e pela forma silenciosa de disseminação. Pesquisadores da empresa de cibersegurança Acronis detectaram uma ofensiva recente do trojan Astaroth, batizada de “Boto Cor-de-Rosa”, que passou a explorar o WhatsApp Web como principal vetor de infecção, aproveitando-se da confiança entre contatos.
Diferentemente de golpes tradicionais baseados em e-mails genéricos ou links suspeitos, a ameaça se propaga por mensagens automáticas enviadas diretamente a partir da conta da própria vítima. A estratégia combina engenharia social cuidadosamente elaborada com uma estrutura técnica avançada, voltada ao roubo de credenciais bancárias de forma discreta.
LEIA: Anatel caminha para se tornar autoridade nacional de cibersegurança
O início do ataque é simples e aparentemente inofensivo. A vítima recebe, pelo WhatsApp, um arquivo compactado em formato ZIP enviado por alguém que faz parte de sua lista de contatos — ou seja, uma pessoa conhecida. Essa familiaridade funciona como um elemento-chave para neutralizar suspeitas.
Ao abrir e extrair o arquivo por meio do WhatsApp Web, o processo de infecção é acionado. Um script em Visual Basic (VBS), camuflado como um arquivo legítimo, é executado no computador da vítima, abrindo caminho para as etapas seguintes do ataque.
Para aumentar a taxa de sucesso, o malware investe pesado em engenharia social. As mensagens utilizam um tom informal e verossímil, como no exemplo: “Aqui está o arquivo solicitado. Qualquer dúvida, fico à disposição!”. Além disso, o texto se adapta automaticamente ao horário local do destinatário, alternando entre “Bom dia”,
“Boa tarde” e “Boa noite”. Em contextos profissionais, especialmente para quem usa o WhatsApp Web no trabalho, esse tipo de abordagem tende a passar despercebido.
Arquitetura sofisticada dificulta a detecção
Do ponto de vista técnico, a campanha representa um avanço significativo em complexidade. O script inicial baixa dois componentes principais do ataque:
– Módulo bancário: responsável pela captura de dados sensíveis;
– Módulo de propagação: encarregado de disseminar o malware.
Cada módulo é desenvolvido em uma linguagem diferente. O núcleo do Astaroth permanece em Delphi, enquanto o novo mecanismo de propagação foi escrito em Python. Essa diversidade dificulta tanto a análise do código quanto a detecção por soluções de segurança mais tradicionais.
O módulo de propagação atua como o verdadeiro motor do ataque. Ele coleta automaticamente a lista de contatos do WhatsApp da vítima e envia o mesmo arquivo malicioso para cada um deles, sem qualquer ação manual do usuário. Com isso, cada computador infectado passa a funcionar como um novo ponto de distribuição do malware.
Paralelamente, o módulo bancário opera em segundo plano. Ele monitora a navegação da vítima e só é ativado quando identifica acessos a sites bancários ou plataformas financeiras. Nesse momento, entram em ação mecanismos de captura de credenciais projetados para manter o roubo de dados praticamente invisível.
Ataque monitora desempenho em tempo real
Além de roubar informações e se espalhar automaticamente, o malware também acompanha seus próprios resultados. O sistema registra métricas como volume de mensagens enviadas, falhas no processo e taxas de sucesso, enviando essas informações — junto a listas de contatos filtradas — para servidores remotos. Na prática, os criminosos conseguem avaliar a eficácia da campanha em tempo real.
Especialistas reforçam que o principal fator de risco continua sendo o comportamento do usuário. Arquivos não solicitados devem ser tratados com extrema cautela, mesmo quando enviados por aplicativos de mensagem e por contatos conhecidos.
De acordo com a Acronis, a variante já é identificada e bloqueada por soluções de EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response).
Essas ferramentas são projetadas para detectar, investigar e conter ataques que conseguem ultrapassar as defesas iniciais. Em linhas gerais, enquanto o antivírus tenta barrar a entrada da ameaça, o EDR/XDR parte do princípio de que o invasor pode conseguir acesso e atua para limitar os danos.
Ainda assim, a empresa destaca que estratégias de segurança em camadas continuam sendo fundamentais para enfrentar ataques que combinam tecnologia avançada com manipulação psicológica.
(Com informações de Olhar Digital)
(Foto: Reprodução/Freepik/wichayada)
