Uma nova ameaça digital, batizada de “ComprovanteSpray”, está se espalhando pelo WhatsApp. Identificada pela equipe de Inteligência de Ameaças da ISH Tecnologia, a campanha tem como alvo roubar credenciais bancárias e dados financeiros de usuários.
O método utilizado, conhecido como execução de código na memória (fileless execution), dificulta a detecção por sistemas de segurança tradicionais. Segundo Caíque Barqueta, especialista em inteligência de ameaças da ISH, o impacto financeiro pode ser grande, já que o golpe compromete informações sigilosas e facilita fraudes.
Setores como financeiro, e-commerce, empresas corporativas e usuários comuns são os mais afetados.
Como o golpe funciona
A campanha começa com uma mensagem no WhatsApp, que inclui um texto persuasivo sobre um suposto comprovante bancário pendente. O anexo, um arquivo .zip, contém um malware.
Ao ser baixado e extraído, um comando em PowerShell é ativado automaticamente no dispositivo da vítima. Esse comando executa um script malicioso diretamente na memória do sistema, evitando a detecção por antivírus.
Com isso, os criminosos coletam dados sensíveis, como senhas bancárias, e os enviam para servidores controlados por eles. “A popularidade do WhatsApp amplia o alcance do golpe, tornando-o uma ameaça séria para indivíduos e empresas”, explica Barqueta.
Técnicas usadas pelos criminosos
Os golpistas empregam várias estratégias para enganar as vítimas. Entre elas, destacam-se:
- Engenharia social: Mensagens que criam senso de urgência, como alertas de contas atrasadas ou problemas médicos.
- Coleta de dados em redes sociais: Uso de informações públicas, como fotos e nomes, para criar perfis falsos.
Além disso, utilizam técnicas como:
- Clonagem de WhatsApp: Técnicas como Sim Swap e roubo de códigos de verificação para acessar contas.
- Spoofing: Falsificação de números de telefone para enviar mensagens que parecem vir de contatos confiáveis.
Outro método comum é o:
- Uso de bots e IA: Mensagens automáticas e deepfakes de áudio ou vídeo para imitar pessoas conhecidas.
- Vazamento de dados e phishing: Exploração de informações vazadas e criação de sites falsos para roubar credenciais.
Como se proteger
Para reduzir os riscos, a ISH Tecnologia recomenda:
- Desconfiar de mensagens que pedem dinheiro com urgência ou contêm anexos inesperados.
- Verificar a identidade do remetente antes de abrir arquivos.
Além disso, é importante:
- Ativar a verificação em duas etapas no WhatsApp.
- Evitar clicar em links ou baixar arquivos de fontes desconhecidas.
O relatório da ISH também inclui uma tabela MITRE ATT&CK, que mapeia as táticas e técnicas dos criminosos. Ainda, fornece uma lista de Indicadores de Comprometimento (IoCs) com hashes de arquivos, URLs e domínios maliciosos associados à campanha.
Para mais detalhes, o boletim completo está disponível no link fornecido pela empresa.
