1 semana atrás 11

Novo malware bancário usa o WhatsApp para se espalhar entre contatos

Uma nova campanha do malware bancário Astaroth, uma das ameaças digitais mais persistentes do Brasil, passou a usar o WhatsApp Web como principal vetor de ataque. Batizada de “Boto Cor-de-Rosa”, a ofensiva, identificada pela equipe da Acronis Threat Research Unit (TRU), chama atenção por explorar a confiança entre contatos para se espalhar automaticamente — o que representa uma evolução importante na forma como o vírus se propaga. Nas próximas linhas, entenda como o malware Astaroth ataca e veja dicas de como se proteger.

De acordo com a análise técnica da Acronis, a infecção começa quando a vítima recebe, pelo WhatsApp, uma mensagem aparentemente legítima contendo um arquivo ZIP malicioso. O nome do arquivo muda a cada envio, mas segue um padrão com números e caracteres aleatórios, o que dificulta a identificação imediata do golpe. Além disso, o arquivo chega por meio de um contato conhecido, o que reduz a desconfiança.

Ao extrair o ZIP, o usuário executa sem perceber um script em Visual Basic (VBS) disfarçado de documento legítimo. Esse arquivo inicia a cadeia de infecção ao baixar outros componentes maliciosos no computador.

Depois de instalado, o Astaroth passa a atuar em duas frentes ao mesmo tempo:

Propagação pelo WhatsApp: o vírus acessa a lista de contatos da vítima e envia automaticamente o mesmo arquivo malicioso para cada um deles, funcionando como um “worm” digital.
Roubo de dados bancários: em segundo plano, o malware monitora a navegação do usuário e entra em ação ao detectar acessos a sites de bancos ou serviços financeiros, tentando capturar senhas e outras informações sensíveis.

Na prática, essa atuação simultânea faz com que o golpe se espalhe rapidamente enquanto tenta gerar prejuízo financeiro para as vítimas.

Uso de várias linguagens dificulta a detecção

Embora o núcleo do Astaroth continue sendo desenvolvido em Delphi, com instaladores baseados em scripts VBS, o novo módulo de propagação via WhatsApp foi escrito inteiramente em Python. Essa arquitetura modular e multilíngue torna a ameaça mais difícil de ser detectada por antivírus tradicionais.

O malware ainda instala uma cópia própria do interpretador Python para garantir que o código malicioso funcione mesmo em sistemas que não tenham a linguagem previamente instalada.

Engenharia social como arma do golpe

Um dos pontos que mais chamam atenção na campanha “Boto Cor-de-Rosa” é o cuidado com a engenharia social. As mensagens enviadas automaticamente usam um tom casual e cotidiano, como “Segue o arquivo solicitado. Qualquer dúvida estou à disposição!”.

Além disso, o malware é capaz de identificar o horário local da vítima para escolher a saudação correta — “Bom dia”, “Boa tarde” ou “Boa noite” — tornando a abordagem ainda mais convincente.

Malware monitora o próprio desempenho

O módulo de propagação também registra métricas em tempo real, como número de mensagens enviadas, falhas e taxa de sucesso. A cada 50 contatos, o sistema calcula o progresso da infecção e envia relatórios internos. Segundo a Acronis, a lista de contatos da vítima também é exportada para servidores remotos, o que amplia o controle dos criminosos sobre a campanha.

A Acronis alerta que usuários devem desconfiar de arquivos recebidos via WhatsApp, mesmo quando enviados por contatos conhecidos. Arquivos ZIP não solicitados são um dos principais vetores desse tipo de ataque. A empresa orienta aos usuários que: