Malware no Whatsapp já tentou 62 mil infecções no Brasil, monitorando bancos e criptomoedas
Arquivo zip enviado pelo Whatsapp instala malware que captura telas e registra todas as digitações.
Ciberataques no Brasil: A Ameaça do Trojan Maverick
Uma nova e sofisticada campanha de ciberataques no Brasil está atraindo a atenção de especialistas em segurança cibernética globalmente. Pesquisadores da Kaspersky, Sophos e Counter Threat Unit™ (CTU) identificaram uma onda de infecções relacionadas ao Maverick, um trojan bancário direcionado a instituições financeiras e corretoras de criptomoedas brasileiras. Desde o final de setembro, mais de 62 mil tentativas de infecção foram bloqueadas apenas em outubro, conforme dados da Kaspersky.
Como Funciona a Campanha de Infecção
A investigação revela que a campanha teve início em 29 de setembro de 2025 e utiliza o WhatsApp como principal meio de disseminação. O golpe se inicia com o envio de um arquivo compactado (.zip) por meio de mensagens que aparentam ser legítimas, geralmente enviadas por contatos cujas contas foram comprometidas. A mensagem sugere que o conteúdo só pode ser acessado em um computador, levando o usuário a abrir um arquivo de atalho (.LNK) malicioso, o que representa o primeiro passo para a infecção.
Processo de Infecção e Evasão
Quando o arquivo malicioso é aberto, ele inicia uma sequência de comandos PowerShell ofuscados, que são baixados de servidores de comando e controle (C2) em domínios como zapgrande[.]com. Essa sequência desativa recursos de segurança, como o Microsoft Defender e o Controle de Conta de Usuário (UAC), e carrega o código malicioso diretamente na memória do computador, dificultando a detecção por antivírus convencionais.
Impacto e Propagação do Malware
Conforme relatado pela Sophos, mais de 1.000 endpoints em 400 redes corporativas já apresentaram atividades relacionadas a essa campanha. Diversos nomes de arquivos, como ORCAMENTO_XXXX.zip e COMPROVANTE_20251002_XXXX.zip, foram utilizados para enganar as vítimas. Além do Maverick, alguns ataques também distribuíram o Selenium, uma ferramenta legítima de automação de navegadores, que pode ser utilizada para controlar sessões web ativas, incluindo o WhatsApp Web, facilitando a propagação da ameaça.
Consequências da Infecção e Recomendações de Segurança
Uma vez instalado, o Maverick monitora o acesso a 26 bancos e seis corretoras de criptomoedas, podendo capturar telas, registrar entradas de teclado e até assumir o controle total do dispositivo. A infecção também permite que o malware envie automaticamente novas mensagens fraudulentas via WhatsApp Web, transformando-se em um verme digital com grande potencial de disseminação.
Pesquisadores notaram semelhanças significativas entre o Maverick e o trojan Coyote, que também teve origem no Brasil e foi analisado pela Kaspersky em 2024. Ambos utilizam o mesmo mecanismo de criptografia (AES-256) para ocultar as instituições financeiras visadas e compartilham estruturas de código e técnicas de evasão.
É fundamental desconfiar de arquivos compactados (.zip) recebidos pelo WhatsApp, mesmo que enviados por contatos conhecidos, e evitar abrir arquivos de atalho (.LNK) de fontes desconhecidas.
Fonte por: Convergencia Digital
