Um novo vírus que mira brasileiros está sendo distribuído por meio do WhatsAppWeb e utiliza técnicas avançadas para roubar dados de clientes de diversos bancos e corretoras de criptomoedas nacionais. Somente em outubro, a empresa de cibersegurança Kaspersky informou ter bloqueado mais de 62 mil tentativas de infecção da ameaça, batizada de Maverick, no Brasil.

Segundo a Kaspersky, o ataque começa com o envio de um arquivo no formato .zip via WhatsApp, acompanhado de uma mensagem que informa que o conteúdo só pode ser visualizado pelo computador. No arquivo, há um atalho malicioso no formato .LNK, que ao ser aberto verifica se o sistema da vítima está configurado para o Brasil, analisando o fuso horário, o idioma e até o formato de data e hora do computador.Play Video

A infecção só ocorre caso essas configurações estejam de acordo com o padrão brasileiro. A partir daí, o arquivo malicioso inicia uma cadeia de infecção complexa, que acontece inteiramente na memória do sistema, o que dificulta sua detecção.

Após a infecção do dispositivo, o vírus permanece inativo no computador da vítima até a vítima tentar acessar um dos 26 bancos ou seis corretoras de criptomoedas monitorados pelo Maverick — cujos nomes não foram revelados. A partir desse momento o vírus assume o controle de algumas funções do dispositivo.

Ele consegue tirar prints da tela, registrar o que é digitado, acompanhar a navegação e até usar a conta de WhatsApp da vítima para se espalhar, automatizando o envio de mensagens fraudulentas pela versão web do aplicativo.

Segundo a Kaspersky, o Maverick não infecta o WhatsApp. A versão web do app é utilizado apenas como meio de propagação, sem ter acesso direto à conta ou conseguir usar o aplicativo sozinho quando o usuário não está on-line.

Ameaça mais sofisticada

A análise da Kaspersky identificou semelhanças entre o código do Maverick e o do trojan Coyote — descoberto em 2004 pela empresa —, que sugerem que o primeiro pode ser uma evolução ou um projeto paralelo dos mesmos desenvolvedores do Coyote, com componentes reformulados para criar uma ameaça ainda mais sofisticada.

— O que mais chama a atenção no Maverick é sua sofisticação e sua ligação com ameaças anteriores. (…) Além disso, a capacidade de se espalhar automaticamente pelo WhatsApp o torna um worm com potencial de crescimento exponencial, elevando o impacto do golpe. É uma das cadeias de infecção mais complexas que já vimos para um trojan bancário — comenta Anderson Leite, analista sênior de Segurança da equipe global de pesquisa e análise da Kaspersky para a América Latina.

Procurada, a Meta, dona do WhatsApp, informou está sempre trabalhando para tornar o app de mensagens mais seguro para a comunicação privada.

Como se proteger

• Desconfie de arquivos recebidos pelo WhatsApp, mesmo de contatos conhecidos, especialmente se forem arquivos compactados (.zip)
• Nunca clique em arquivos de atalho (.LNK) de fontes não confiáveis
• Utilize uma solução de segurança robusta, que detecte e bloqueie ameaças como o Maverick em todas as etapas da infecção
• Se receber uma mensagem suspeita, não a encaminhe e avise o contato que a enviou