Hackers – Pesquisadores de segurança cibernética identificaram indícios de que a inteligência artificial pode ter sido usada para aprimorar um ataque hacker que se espalha pelo WhatsApp Web e tem como objetivo roubar senhas bancárias. A análise foi feita pela empresa de cibersegurança Trend Micro, que investigou uma nova versão de um vírus já conhecido, voltado principalmente a usuários no Brasil.
O ataque, batizado de Sorvepotel, havia sido detectado inicialmente em outubro. Na versão mais recente, os hackers mantiveram a estratégia principal: criar páginas falsas de bancos e assumir o controle do WhatsApp Web da vítima para disseminar o mesmo arquivo malicioso a outros contatos.
LEIA: Com características únicas, 3I/ATLAS tem natureza questionada novamente
De acordo com a Trend Micro, há “fortes indícios circunstanciais” de que ferramentas automatizadas, como modelos de linguagem ou sistemas de tradução de código, possam ter sido utilizadas para acelerar a adaptação do vírus. Entre os sinais apontados estão melhorias visíveis na organização e na aparência do código, que agora inclui até o uso de emojis, além da rapidez no desenvolvimento de uma versão muito semelhante à original.
A abordagem dos criminosos costuma ocorrer por meio do envio de arquivos que se passam por documentos legítimos, como comprovantes de pagamento ou orçamentos de empresas. As mensagens geralmente incentivam a vítima a abrir o arquivo no computador, o que ativa a cadeia de infecção.
Além do roubo de senhas bancárias, as vítimas correm o risco de ter suas contas banidas no WhatsApp. Isso porque, após assumir o controle do WhatsApp Web, o vírus passa a enviar mensagens repetidamente, comportamento que pode ser interpretado pela plataforma como spam.
Segundo os pesquisadores, a nova versão do Sorvepotel é compatível com mais navegadores e consegue disparar mensagens de forma mais rápida. O malware também apresenta técnicas mais avançadas de infecção, persistência e evasão, demonstrando como plataformas legítimas vêm sendo exploradas de maneira cada vez mais eficiente para atingir alvos brasileiros.
O funcionamento do ataque começa com o envio de arquivos maliciosos disfarçados de documentos comuns, geralmente nos formatos ZIP, PDF ou HTA. Ao executar o arquivo, a vítima estabelece uma conexão entre o computador e a central de comando dos hackers. A partir daí, um instalador é baixado e infecta o dispositivo com o vírus bancário.
Uma vez ativo, o malware coleta informações sobre a máquina, como idioma do sistema operacional, indícios de uso de serviços bancários e presença de antivírus. Com esses dados, o vírus passa a executar comandos que incluem a criação de páginas falsas de bancos, captura de senhas digitadas, registro de telas e análise do histórico de navegação em busca de acessos a instituições financeiras.
Segundo a Trend Micro, o foco no Brasil não é aleatório. O vírus realiza checagens específicas de idioma, localização e formato de data para confirmar se a vítima é brasileira. Além disso, os atacantes exploram o fato de que muitos bancos no país exigem módulos de segurança adicionais, usando essa característica como forma de identificar a principal instituição financeira utilizada pela vítima.
Em entrevista concedida em outubro, o líder técnico da Trend Micro Brasil, Marcelo Sanches, explicou que a tática não envolve falhas no WhatsApp em si, mas se aproveita da distração dos usuários. Após a infecção, o computador passa a receber instruções remotas, podendo ser atualizado ou controlado pelos criminosos, o que transforma a máquina em uma espécie de “zumbi”.
A investigação inicial apontou que o Sorvepotel atingiu principalmente organizações governamentais e de serviços públicos, mas também afetou empresas dos setores de indústria, tecnologia, educação e construção.
Para reduzir os riscos, os pesquisadores alertam que os ataques têm como alvo principal computadores corporativos usados por funcionários para acessar contas pessoais no WhatsApp Web. Entre as recomendações estão desativar downloads automáticos no aplicativo, restringir o download de arquivos em dispositivos da empresa, promover treinamentos sobre riscos digitais e desconfiar de mensagens que solicitam permissões em navegadores. Também é indicado confirmar, por outros meios, se o envio de arquivos foi realmente intencional.
(Com informações de g1)
(Foto: Reprodução/Freepik)
