Um novo worm do WhatsApp está varrendo o Brasil, roubando logins de bancos e chaves criptográficas de usuários comuns, alertam empresas de segurança.
As vítimas recebem uma mensagem que parece familiar – uma nota de entrega, um alerta do governo ou um convite para um grupo – e um clique pode permitir que a ameaça se espalhe através dos seus contactos enquanto um trojan oculto retira dados das suas máquinas.
Como o verme se espalha
De acordo com relatórios de segurança, os invasores enviam arquivos ZIP pelo WhatsApp que contêm um atalho malicioso .LNK. Quando aberto, esse atalho executa comandos enganosos que carregam mais código na memória, de modo que pouco é gravado no disco rígido.
Esta etapa “sem arquivo” ajuda o malware a evitar algumas ferramentas antivírus. Com base nos relatos, a infecção também sequestra sessões do WhatsApp Web para enviar a mesma isca aos amigos da vítima, fazendo com que o ataque se comporte como um worm.
Figure 2. Eternidade Stealer’s attack chain. Source: SpiderLabs
Um grupo de analistas disse que mais de 400 “ambientes de clientes” e mais de 1.000 endpoints mostraram sinais de comprometimento, enquanto outra empresa bloqueou cerca de 62.000 tentativas de infecção nos primeiros 10 dias de outubro.
Alvos e técnicas
Os relatórios revelaram duas cepas principais que estão ativas no Brasil. Um deles é um trojan bancário chamado Eternidade Stealer, que usa uma conta do Gmail como canal de comando oculto.
Figure 7. The malware’s JavaScript code that steals victims’ WhatsApp contact lists. Source: SpiderLabs
O outro, conhecido como Maverick, depende de ferramentas de automação como o WPPConnect para operar o WhatsApp Web e enviar mensagens maliciosas de contas infectadas.
As ameaças procuram configurações locais antes de serem totalmente ativadas, verificando fuso horário e idioma para que o código seja executado principalmente em máquinas configuradas para o Brasil.
Pesquisadores de segurança dizem que o malware pode capturar telas, registrar pressionamentos de teclas e sobrepor páginas de login falsas em sites bancários ou de câmbio.
A lista de alvos é ampla: inclui 26 bancos brasileiros, seis exchanges de criptomoedas e uma plataforma de pagamentos.
Bitcoin is priced at $92,191 in the last 24 hours. Chart: TradingView
A filtragem inteligente torna tudo pior
Os invasores parecem evitar contatos comerciais ou de grupo. Essa escolha parece ter sido concebida para manter as mensagens dentro de pequenos círculos pessoais e para reduzir a detecção precoce.
Depois que um familiar ou amigo de contato abre o link, o mesmo ciclo pode se repetir. Como o worm se espalha por meio de contas confiáveis, é mais provável que as pessoas caiam na isca.
O uso de serviços amplamente disponíveis, como o Gmail, para instruções de controle, torna mais difícil para os defensores bloquearem um único servidor de comando.
O que fazer se você estiver exposto
Segundo especialistas em segurança, se os fundos estiverem em risco, aja rapidamente. Congele ou bloqueie contas quando possível, alerte sua bolsa ou banco e relate o incidente às autoridades locais.
Habilite a autenticação multifator forte em todas as contas financeiras e use listas de permissões de saque quando oferecidas. Segundo especialistas, não abra arquivos ZIP ou .LNK do WhatsApp, mesmo de contatos conhecidos, sem verificar por meio de uma mensagem separada ou de um telefonema.
Source: Chainalysis
Brasil em 5º lugar
Os números da Chainalysis mostram que o Brasil está no topo da América Latina no uso de criptografia, e o país ocupa o quinto lugar no Top 20 do Índice Global de Adoção de Criptografia de 2025 da plataforma.
Imagem em destaque do Gemini, gráfico do TradingView
Processo Editorial for bitcoinist está centrado na entrega de conteúdo exaustivamente pesquisado, preciso e imparcial. Mantemos padrões rígidos de fornecimento e cada página passa por uma revisão diligente por nossa equipe de especialistas em tecnologia e editores experientes. Este processo garante a integridade, relevância e valor de nosso conteúdo para nossos leitores.
Fontebitcoinist
