Saiba como criminosos usam arquivos maliciosos para roubar informações financeiras através do WhatsApp.
Uma nova campanha maliciosa, batizada de “ComprovanteSpray”, está se espalhando rapidamente pelo WhatsApp, colocando em risco as informações financeiras de usuários e empresas. Identificada pela equipe de Inteligência de Ameaças da ISH Tecnologia, líder em cibersegurança no Brasil, a fraude utiliza técnicas avançadas para roubar credenciais bancárias e dados sensíveis, sem deixar rastros detectáveis por antivírus tradicionais.
Como o golpe funciona?
A campanha começa com o envio de uma mensagem no WhatsApp, que parece inofensiva, contendo um suposto comprovante bancário pendente. O anexo, um arquivo compactado (.zip), esconde um malware que, ao ser aberto, executa um comando em PowerShell – uma ferramenta do Windows usada para automatizar tarefas. Esse comando baixa e executa um script malicioso diretamente na memória do dispositivo, permitindo que os criminosos acessem informações confidenciais, como senhas e dados bancários, sem que o usuário perceba.
Segundo Caíque Barqueta, especialista em inteligência de ameaças da ISH, o uso do WhatsApp amplia o alcance do golpe, já que o aplicativo é amplamente utilizado e considerado confiável. “Os criminosos aproveitam a confiança e a velocidade da comunicação via aplicativo para maximizar a taxa de infecção e dificultar a contenção do ataque”, explica.
Táticas usadas pelos cibercriminosos
A campanha começa “ComprovanteSpray” utiliza uma combinação de técnicas sofisticadas para enganar as vítimas. Entre elas, destacam-se:
Engenharia social
Mensagens que criam senso de urgência, como alertas de contas atrasadas, problemas médicos ou oportunidades imperdíveis.
Coleta de dados em redes sociais
Golpistas extraem fotos, nomes e informações de perfis públicos.
Monitoram conversas para identificar relações pessoais e entender como abordar a vítima.
Pegam imagens e informações para criar perfis falsos no WhatsApp.
Clonagem de WhatsApp
Sim Swap (Troca de SIM): O fraudador convence a operadora a transferir o número da vítima para um novo chip.
Roubo de código de verificação: Enviam mensagens falsas ou fazem ligações fingindo ser suporte técnico para obter o código de 6 dígitos do WhatsApp.
Malware em links maliciosos: Enviam mensagens com links falsos que, ao serem clicados, roubam informações do usuário.
Spoofing
Usam aplicativos de VoIP para gerar números de telefone temporários parecidos com os de contatos reais da vítima.
Envio de mensagens como se fossem de um número confiável, aumentando a chance de a vítima acreditar no golpe.
Uso de bots e Inteligência Artificial
Mensagens automáticas personalizadas: Bots enviam mensagens genéricas de “novo número” para várias pessoas ao mesmo tempo.
Áudio e vídeo deepfake: Com IA, conseguem criar áudios e vídeos imitando a voz de alguém conhecido para aumentar a credibilidade do golpe.
Vazamento de dados e phishing
Dados de vazamentos anteriores: Criminosos compram bases de dados vazadas que contêm números de telefone e informações pessoais.
Golpes de phishing: Criam sites falsos parecidos com bancos, operadoras e serviços conhecidos para roubar credenciais.
Perfis falsos e aplicativos falsos
Criam perfis falsos no WhatsApp com fotos roubadas de outras pessoas.
Usam aplicativos de WhatsApp modificado que permitem burlar algumas verificações de segurança e enganar vítimas.
Como se proteger?
Para evitar cair nessa armadilha, é recomendável:
Desconfie de mensagens urgentes que solicitam dinheiro ou contêm anexos inesperados.
Verifique a identidade do remetente antes de abrir qualquer arquivo.
Ative a verificação em duas etapas no WhatsApp para aumentar a segurança da sua conta.
Evite clicar em links suspeitos ou baixar arquivos de fontes desconhecidas.
Além disso, a empresa disponibilizou uma tabela MITRE ATT&CK, que mapeia as táticas e técnicas usadas pelos criminosos, e uma lista de Indicadores de Comprometimento (IoCs), incluindo hashes de arquivos e URLs maliciosos associados à campanha.
Saiba como criminosos usam arquivos maliciosos para roubar informações financeiras através do WhatsApp.
Uma nova campanha maliciosa, batizada de “ComprovanteSpray”, está se espalhando rapidamente pelo WhatsApp, colocando em risco as informações financeiras de usuários e empresas. Identificada pela equipe de Inteligência de Ameaças da ISH Tecnologia, líder em cibersegurança no Brasil, a fraude utiliza técnicas avançadas para roubar credenciais bancárias e dados sensíveis, sem deixar rastros detectáveis por antivírus tradicionais.
Como o golpe funciona?
A campanha começa com o envio de uma mensagem no WhatsApp, que parece inofensiva, contendo um suposto comprovante bancário pendente. O anexo, um arquivo compactado (.zip), esconde um malware que, ao ser aberto, executa um comando em PowerShell – uma ferramenta do Windows usada para automatizar tarefas. Esse comando baixa e executa um script malicioso diretamente na memória do dispositivo, permitindo que os criminosos acessem informações confidenciais, como senhas e dados bancários, sem que o usuário perceba.
Segundo Caíque Barqueta, especialista em inteligência de ameaças da ISH, o uso do WhatsApp amplia o alcance do golpe, já que o aplicativo é amplamente utilizado e considerado confiável. “Os criminosos aproveitam a confiança e a velocidade da comunicação via aplicativo para maximizar a taxa de infecção e dificultar a contenção do ataque”, explica.
Táticas usadas pelos cibercriminosos
A campanha começa “ComprovanteSpray” utiliza uma combinação de técnicas sofisticadas para enganar as vítimas. Entre elas, destacam-se:
Como se proteger?
Para evitar cair nessa armadilha, é recomendável:
Além disso, a empresa disponibilizou uma tabela MITRE ATT&CK, que mapeia as táticas e técnicas usadas pelos criminosos, e uma lista de Indicadores de Comprometimento (IoCs), incluindo hashes de arquivos e URLs maliciosos associados à campanha.
Para acessar o boletim completo, clique aqui.