Acronis alerta que hacker de malware bancário adota WhatsApp como vetor de ataque

A equipe da Unidade de Pesquisa da Acronis (TRU) identificou uma nova campanha do malware bancário Astaroth, denominada internamente “Boto Cor-de-Rosa”, que marca uma evolução significativa nas estratégias de propagação da ameaça. Pela primeira vez, o Astaroth passa a explorar o WhatsApp Web como Canal de disseminação, utilizando mensagens automáticas enviadas diretamente aos contatos da vítima para ampliar a infecção.

Tradicionalmente conhecido por atingir quase exclusivamente usuários brasileiros, o malware mantém seu foco no País ao explorar elementos culturais, o conhecimento do ecossistema local e Canais de comunicação amplamente utilizados por aqui para maximizar sua eficácia.

Como é feito o ataque
De acordo com a análise da Acronis, a Cadeia de infecção começa quando a vítima recebe uma mensagem no WhatsApp contendo um arquivo ZIP malicioso. Ao extrair o conteúdo, um script em Visual Basic disfarçado como arquivo legítimo é executado, o que dá início ao comprometimento do sistema. Esse script baixa dois componentes principais: o payload bancário do Astaroth e um novo módulo de propagação baseado em Python.

Uma vez ativo, o malware se divide em dois módulos que operam simultaneamente. O módulo de propagação coleta automaticamente a lista de contatos do WhatsApp da vítima e envia o mesmo arquivo malicioso a cada um deles, criando um ciclo contínuo de disseminação. Já o módulo bancário atua de forma silenciosa. Ele monitora a navegação do usuário e ativa as funções de roubo de credenciais assim que identifica acessos a sites bancários ou financeiros.

Embora o núcleo do Astaroth continue sendo desenvolvido em Delphi, e seu instalador utilize scripts VBS, o novo componente responsável pela propagação via mensageiro mais popular do Brasil foi inteiramente escrito em Python. Tal abordagem reforça a tendência de uso de arquiteturas modulares e multilíngues por cibercriminosos, o que dificulta a detecção e a análise estática das ameaças.

Alto nível de engenharia
A campanha se destaca ainda pelo alto nível de engenharia social. As mensagens enviadas pelo malware utilizam uma linguagem casual e familiar, como “Aqui está o arquivo solicitado. Qualquer dúvida, fico à disposição!”, o que aumenta a chance de que os destinatários confiem no conteúdo. Além disso, o código identifica automaticamente o horário local para escolher a saudação adequada, “Bom dia”, “Boa tarde” ou “Boa noite”, tornando a comunicação ainda mais convincente.

Outro aspecto relevante é a capacidade do malware de monitorar seu próprio desempenho. O módulo de propagação registra métricas em tempo real, como número de mensagens enviadas com sucesso, falhas e taxa de envio, além de filtrar a lista de contatos da vítima para servidores remotos.

A Acronis reforça a importância de atenção redobrada ao receber arquivos não solicitados por aplicativos de mensagens, mesmo quando enviados por contatos conhecidos, e recomenda que organizações adotem estratégias de Segurança em camadas, capazes de detectar tanto ameaças tradicionais quanto ataques baseados em engenharia social.

A ameaça foi detectada e bloqueada com sucesso pelo Acronis EDR/XDR, protegendo usuários contra essa nova variante do Astaroth.

Serviço
www.acronis.com