E-mail falso do WhatsApp baixa trojan bancário

Especialista alerta sobre circulação de e-mail falso que se passa pelo aplicativo e busca fazer o download do Trojan bancário Grandoreiro

Compartilhar:

A ESET alerta sobre um e-mail falso que tenta fazer as vítimas acreditarem que é uma comunicação oficial do WhatsApp e as convida a baixar uma cópia de backup das conversas e do histórico de chamadas no aplicativo de mensagens. O verdadeiro objetivo do email é distribuir o Trojan bancário Grandoreiro, que rouba credenciais bancárias.

 

No e-mail, a mensagem inclui um anexo chamado “Open_Document_513069.html”. Este é um arquivo HTML que contém um URL encurtado pelo serviço bitly. De acordo com uma análise realizada do HTML anexado, clicar nele redireciona para um site no qual é feito o download de um arquivo .zip. Esse arquivo compactado contém um instalador MSI que baixa a ameaça, o trojan bancário Grandoreiro. Se o usuário executar o arquivo baixado, o computador provavelmente será infectado com o malware.

 

Segundo a análise detalhada do Grandoreiro publicada pela ESET, é um Trojan bancário escrito em Delphi que compartilha muitas características com outras famílias de Trojan muito ativas na América Latina.

 

Algumas dessas famílias se expandiram para além da América Latina e começaram a direcionar suas campanhas para usuários na Espanha e em outros países europeus. Em 2020, o Grandoreiro estava presente principalmente em países como Brasil, Espanha, México e Peru. E logo após a pandemia ser decretada, foram detectados e-mails nos quais o tema COVID-19 era usado para enganar os usuários.

 

Depois de infectar o computador da vítima, o principal objetivo desse Trojan é roubar credenciais bancárias por meio de pop-ups falsos que fazem a vítima acreditar que é o site oficial do banco. Além disso, como os outros cavalos de Troia bancários latino-americanos, possui funcionalidades de backdoor que permitem ao invasor realizar outras ações maliciosas no computador comprometido, como registro de pressionamentos de tecla (keylogging), simulação de ações de mouse e teclado, logout da vítima, bloqueia o acesso a determinados sites ou mesmo reinicialização do computador, para citar alguns de seus recursos.

 

De acordo com os dados de telemetria da ESET, os logs dos últimos 90 dias para a mesma variante Grandoreiro detectada nesta campanha que se faz passar pelo WhatsApp mostram a atividade do Trojan principalmente na Espanha, mas também no México e no Brasil.

 

“Isso não significa que se trate da mesma campanha que está circulando nesses países, mas também não podemos descartar a possibilidade de que essa mesma estratégia de engenharia social não seja utilizada posteriormente em campanhas que visem países latino-americanos, por isso é importante se informar sobre esses tipos de campanhas de phishing para evitar cair na armadilha caso receba um e-mail com essas características”, comenta Camilo Gutiérrez Amaya, chefe do Laboratório de segurança da ESET América Latina.

 

No site do Internet Security Office, eles não descartam que existam outros e-mails em circulação com assuntos diversos.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...