Uma nova campanha de malware bancário, o Astaroth, está utilizando o WhatsApp como principal vetor de ataque no Brasil. A informação foi divulgada pela Acronis, que identificou a ação, denominada internamente de “Boto Cor-de-Rosa”. A ameaça se destaca pelo uso de engenharia social, com mensagens que simulam conversas casuais para enganar usuários.
Como funciona o ataque via WhatsApp
De acordo com a análise da Acronis, o ataque tem início quando a vítima recebe, via WhatsApp, um arquivo ZIP malicioso. Ao extrair o conteúdo, um script em Visual Basic é executado, dando início à infecção do sistema. Esse script baixa dois componentes principais: o payload bancário do Astaroth e um novo módulo de propagação baseado em Python.
Uma vez ativo, o malware se divide em dois módulos que operam simultaneamente. O módulo de propagação coleta automaticamente a lista de contatos do WhatsApp da vítima e envia o mesmo arquivo malicioso a cada um deles, criando um ciclo contínuo de disseminação. O módulo bancário, por sua vez, monitora a navegação do usuário e ativa as funções de roubo de credenciais ao identificar acessos a sites bancários ou financeiros.
Além disso, a Acronis destaca que, embora o núcleo do Astaroth continue sendo desenvolvido em Delphi e seu instalador utilize scripts VBS, o novo componente responsável pela propagação via WhatsApp foi inteiramente escrito em Python. Essa abordagem reforça a tendência de uso de arquiteturas modulares e multilíngues por cibercriminosos, o que dificulta a detecção e a análise estática das ameaças.
Engenharia social e personalização
A campanha “Boto Cor-de-Rosa” se destaca pelo alto nível de engenharia social. As mensagens fraudulentas utilizam uma linguagem casual e familiar, como “Aqui está o arquivo solicitado. Qualquer dúvida, fico à disposição!”, aumentando a probabilidade de os destinatários confiarem no conteúdo.
Ademais, o código malicioso identifica automaticamente o horário local para escolher a saudação adequada (“Bom dia”, “Boa tarde” ou “Boa noite”), tornando a comunicação ainda mais convincente.
Outro ponto relevante é a capacidade do malware de monitorar seu próprio desempenho. O módulo de propagação registra métricas em tempo real, como número de mensagens enviadas com sucesso, falhas e taxa de envio, além de filtrar a lista de contatos da vítima para servidores remotos.
Recomendações de segurança
A Acronis reforça a importância de redobrar a atenção ao receber arquivos não solicitados por aplicativos de mensagens, mesmo quando enviados por contatos conhecidos. A empresa recomenda que organizações adotem estratégias de segurança em camadas, capazes de detectar tanto ameaças tradicionais quanto ataques baseados em engenharia social.
A ameaça foi detectada e bloqueada com sucesso pelo Acronis EDR/XDR, protegendo usuários contra essa nova variante do Astaroth.
