O time de Inteligência de Ameaças (Heimdall), da ISH Tecnologia, maior companhia nacional de cibersegurança, identificou uma nova campanha maliciosa apelidada de “ComprovanteSpray”, que tem se disseminado rapidamente pelo WhatsApp. O ataque tem como principal objetivo o roubo de credenciais e informações financeiras, utilizando um sofisticado método de execução de código na memória do dispositivo (fileless execution), dificultando sua detecção por soluções tradicionais de segurança.
O relatório detalha que a campanha se estrutura em três níveis – estratégico, tático e operacional – e aponta os segmentos de mercado mais afetados, incluindo setor financeiro, e-commerce, empresas corporativas e usuários finais. “O impacto financeiro potencial é significativo, dada a capacidade do ataque de comprometer informações sigilosas e facilitar fraudes financeiras”, afirma Caíque Barqueta, especialista em inteligência de ameaças da ISH.
Como funciona o ataque?
A campanha “ComprovanteSpray” tem início com o envio de uma mensagem pelo WhatsApp, geralmente acompanhada de um texto persuasivo, alertando sobre um suposto comprovante bancário pendente. O anexo, um arquivo .zip, contém um malware disfarçado. Quando o usuário baixa e extrai o arquivo, um comando em PowerShell – uma ferramenta nativa do Windows usada para automatizar tarefas e executar scripts – é ativado automaticamente, sem que ele perceba.
Esse comando baixa e executa um script malicioso diretamente na memória do dispositivo, evitando a detecção por antivírus convencionais e permitindo que os criminosos coletem informações sensíveis, como credenciais bancárias e dados financeiros, enviando-as para servidores sob seu controle.
“A ampla utilização do WhatsApp potencializa o alcance da campanha, tornando-se uma ameaça significativa tanto para usuários individuais quanto para empresas. Os criminosos aproveitam a confiança e a velocidade da comunicação via aplicativo para maximizar a taxa de infecção e dificultar a contenção do ataque”, explica Barqueta.
Métodos utilizados pelos cibercriminosos
Os cibercriminosos utilizam diversos vetores de ataque para aplicar golpes de falsificação de identidade no WhatsApp. Abaixo estão os principais métodos que eles utilizam para obter informações e enganar as vítimas:
Engenharia social
Manipulação psicológica: Criminosos exploram o senso de urgência e confiança para enganar as vítimas.
Mensagens emocionais: Alegam emergências como contas atrasadas, problemas médicos ou oportunidades imperdíveis.
Uso de linguagem informal: Tentam imitar o jeito de falar da pessoa que estão se passando.
Coleta de dados em redes sociais
Perfis abertos: Golpistas extraem fotos, nomes e informações de perfis públicos.
Comentários e interações: Monitoram conversas para identificar relações pessoais e entender como abordar a vítima.
Roubo de fotos e números: Pegam imagens e informações para criar perfis falsos no WhatsApp.
Clonagem de WhatsApp
Sim Swap (Troca de SIM): O fraudador convence a operadora a transferir o número da vítima para um novo chip.
Roubo de código de verificação: Enviam mensagens falsas ou fazem ligações fingindo ser suporte técnico para obter o código de 6 dígitos do WhatsApp.
Malware em links maliciosos: Enviam mensagens com links falsos que, ao serem clicados, roubam informações do usuário.
Spoofing (Falsificação de Número de Telefone)
Usam aplicativos de VoIP para gerar números temporários parecidos com os de contatos reais da vítima.
Envio de mensagens como se fossem de um número confiável, aumentando a chance de a vítima acreditar no golpe.
Uso de bots e Inteligência Artificial
Mensagens automáticas personalizadas: Bots enviam mensagens genéricas de “novo número” para várias pessoas ao mesmo tempo.
Áudio e vídeo deepfake: Com IA, conseguem criar áudios e vídeos imitando a voz de alguém, tornando o golpe mais convincente.
Vazamento de dados e phishing
Dados de vazamentos anteriores: Criminosos compram bases de dados vazadas que contêm números de telefone e informações pessoais.
Golpes de phishing: Criam sites falsos parecidos com bancos, operadoras e serviços conhecidos para roubar credenciais.
Perfis falsos e aplicativos falsos
Criam perfis falsos no WhatsApp com fotos roubadas de outras pessoas.
Usam aplicativos de WhatsApp modificado que permitem burlar algumas verificações de segurança e enganar vítimas.
Medidas de prevenção e mitigação
Para minimizar os riscos dessa e de outras ameaças similares, a ISH Tecnologia recomenda:
Desconfiar de mensagens que solicitam dinheiro com urgência ou que contenham anexos inesperados.
Verificar a identidade do remetente antes de abrir qualquer arquivo.
Ativar a verificação em duas etapas no WhatsApp para maior segurança.
Evitar baixar arquivos de fontes desconhecidas ou clicar em links suspeitos recebidos via mensagens instantâneas.
Além disso, o estudo inclui uma tabela MITRE ATT&CK, mapeando táticas e técnicas utilizadas pelos atacantes, e fornece uma lista de Indicadores de Comprometimento (IoCs), incluindo hashes de arquivos, URLs e domínios maliciosos associados à campanha.
