Do Micro Ao Macro
Nova campanha ‘ComprovanteSpray’ no WhatsApp rouba dados bancários
Golpe utiliza arquivos maliciosos para capturar informações financeiras de vítimas desprevenidas
Uma nova ameaça digital, batizada de “ComprovanteSpray”, está se espalhando pelo WhatsApp. Identificada pela equipe de Inteligência de Ameaças da ISH Tecnologia, a campanha tem como alvo roubar credenciais bancárias e dados financeiros de usuários.
O método utilizado, conhecido como execução de código na memória (fileless execution), dificulta a detecção por sistemas de segurança tradicionais. Segundo Caíque Barqueta, especialista em inteligência de ameaças da ISH, o impacto financeiro pode ser grande, já que o golpe compromete informações sigilosas e facilita fraudes.
Setores como financeiro, e-commerce, empresas corporativas e usuários comuns são os mais afetados.
Como o golpe funciona
A campanha começa com uma mensagem no WhatsApp, que inclui um texto persuasivo sobre um suposto comprovante bancário pendente. O anexo, um arquivo .zip, contém um malware.
Ao ser baixado e extraído, um comando em PowerShell é ativado automaticamente no dispositivo da vítima. Esse comando executa um script malicioso diretamente na memória do sistema, evitando a detecção por antivírus.
Com isso, os criminosos coletam dados sensíveis, como senhas bancárias, e os enviam para servidores controlados por eles. “A popularidade do WhatsApp amplia o alcance do golpe, tornando-o uma ameaça séria para indivíduos e empresas”, explica Barqueta.
Técnicas usadas pelos criminosos
Os golpistas empregam várias estratégias para enganar as vítimas. Entre elas, destacam-se:
- Engenharia social: Mensagens que criam senso de urgência, como alertas de contas atrasadas ou problemas médicos.
- Coleta de dados em redes sociais: Uso de informações públicas, como fotos e nomes, para criar perfis falsos.
Além disso, utilizam técnicas como:
- Clonagem de WhatsApp: Técnicas como Sim Swap e roubo de códigos de verificação para acessar contas.
- Spoofing: Falsificação de números de telefone para enviar mensagens que parecem vir de contatos confiáveis.
Outro método comum é o:
- Uso de bots e IA: Mensagens automáticas e deepfakes de áudio ou vídeo para imitar pessoas conhecidas.
- Vazamento de dados e phishing: Exploração de informações vazadas e criação de sites falsos para roubar credenciais.
Como se proteger
Para reduzir os riscos, a ISH Tecnologia recomenda:
- Desconfiar de mensagens que pedem dinheiro com urgência ou contêm anexos inesperados.
- Verificar a identidade do remetente antes de abrir arquivos.
Além disso, é importante:
- Ativar a verificação em duas etapas no WhatsApp.
- Evitar clicar em links ou baixar arquivos de fontes desconhecidas.
O relatório da ISH também inclui uma tabela MITRE ATT&CK, que mapeia as táticas e técnicas dos criminosos. Ainda, fornece uma lista de Indicadores de Comprometimento (IoCs) com hashes de arquivos, URLs e domínios maliciosos associados à campanha.
Para mais detalhes, o boletim completo está disponível no link fornecido pela empresa.
CartaCapital
Há 31 anos, a maior referência progressista em jornalismo no Brasil.
Apoie o jornalismo que chama as coisas pelo nome
Depois de anos bicudos, voltamos a um Brasil minimamente normal. Este novo normal, contudo, segue repleto de incertezas. A ameaça bolsonarista persiste e os apetites do mercado e do Congresso continuam a pressionar o governo. Lá fora, o avanço global da extrema-direita e a brutalidade em Gaza e na Ucrânia arriscam implodir os frágeis alicerces da governança mundial.
CartaCapital não tem o apoio de bancos e fundações. Sobrevive, unicamente, da venda de anúncios e projetos e das contribuições de seus leitores. E seu apoio, leitor, é cada vez mais fundamental.
Não deixe a Carta parar. Se você valoriza o bom jornalismo, nos ajude a seguir lutando. Assine a edição semanal da revista ou contribua com o quanto puder.