Quadrilha envia arquivo zip a todos contatos de vítima; golpe só funciona em computadores brasileiros; app trabalha para fortalecer segurança; Febraban diz que sistema bancário tem defesa robusta
O ataque tem início com o download de um arquivo compactado, no formato ".zip", que contém um atalho no formato ".lnk". É a execução desse arquivo que invoca o código malicioso, que assume o controle do navegador da máquina infectada, acessa o WhatsApp Web e envia o arquivo ".zip" a todos os contatos da vítima.
O programa malicioso foi escrito com comentários em português brasileiro e compartilha trechos do código de outro vírus nacional descoberto no ano passado, de acordo com análises das empresas de cibersegurança Sophos e Kaspersky. O novo vírus foi batizado de maverick.
O vírus não funciona em celulares e mira apenas máquinas brasileiras -há instruções para acionar o programa apenas quando o teclado tiver "ç" e data no padrão do Brasil. A mensagem padrão enviada pelo grupo criminoso diz: "Visualização permitida somente em computadores."
"Caso esteja utilizando o Chrome, poderá ser solicitado para 'manter' o arquivo por se tratar de um arquivo zipado", acrescenta a mensagem fraudulenta.
O vírus foi descoberto pela empresa de cibersegurança Trend Micro no último dia 3, após circularem relatos sobre o ataque nas redes sociais. Ainda assim, o programa malicioso continua se espalhando e gerou mais de 200 mil disparos no WhatsApp, mostra relatório da empresa de cibersegurança Solo Iron, que teve acesso a um dashboard usado pela quadrilha para gerenciar a operação.
Segundo o documento, os criminosos usam ferramentas de geração automatizada dos nomes de arquivos maliciosos, além de um painel estatístico com métricas de entrega, como total de envios, taxa de sucesso e controle da distribuição dos links. "Esses artefatos apontam para uma operação profissionalizada", diz o diretor de segurança da informação da Solo Iron, Felipe Guimarães.
Tanto a Sophos quanto a Kaspersky dizem que já atualizaram seus antivírus para bloquear o download do arquivo ".zip" responsável pela infecção.
A pessoa que já foi infectada deve apagar os arquivos baixados, porque o vírus foi programado para monitorar o computador da vítima toda vez que a máquina for ligada.
"Quando a vítima entra no site do banco, o vírus congela a tela do computador e mostra uma mensagem de segurança falsa, como se fosse o banco pedindo as credenciais dela para validar alguma coisa", explica o analista da Kaspersky Anderson Leite. Dessa maneira, o maverick rouba os dados da vítima sem precisar varrer o computador infectado.
Tudo é feito por meio de servidores na internet, sem deixar vestígios. A tomada de controle do WhatsApp ocorre por meio de uma ferramenta de automação de navegadores, chamada selenium. Por isso, o aplicativo de mensageria interpreta que é a vítima acessando sua conta.
A Meta diz que está trabalhando para tornar o WhatsApp um lugar mais seguro, e que possui camadas de proteção "que oferecem mais contexto sobre com quem você está conversando ao receber uma mensagem de alguém que você não conhece -além de proteger suas conversas pessoais com a criptografia de ponta a ponta".
Procurada, a Febraban (Federação Brasileira de Bancos) diz que o sistema bancário possui "robustas estruturas de monitoramento de seus sistemas e utiliza o que há de mais moderno em termos de tecnologia e segurança da informação", como mensageria criptografada, autenticação biométrica e tokenização, além de tecnologias como big data, analytics e inteligência artificial em processos de prevenção de riscos.
Ainda de acordo com a Kaspersky e com a Sophos, o maverick usa vários trechos do código do vírus brasileiro coyote, descoberto pela equipe da Kaspersky no Brasil em 2024.
Diferentemente do maverick, o coyote já estava pronto para operar em outros países e mirava mais de 60 bancos. "É uma evidência de que o trabalho pertence à mesma quadrilha ou a um grupo relacionado", disse Leite, da Kaspersky.
VEJA COMO SE PROTEGER
Nenhum comentário:
Postar um comentário