Um novo golpe digital de alta complexidade está em curso no Brasil, utilizando o WhatsApp e sua versão Web como principal vetor de ataque para roubar dados bancários e informações sensíveis de usuários. O vírus, identificado pela empresa de cibersegurança Kaspersky como Maverick, atua como um trojan bancário com capacidade de monitorar o sistema da vítima, registrar digitação e realizar capturas de tela, confirmando o país como foco prioritário da campanha maliciosa. Nos dez primeiros dias de outubro, mais de 62 mil tentativas de infecção foram bloqueadas no território nacional, indicando a escala e a rapidez da propagação da ameaça.
O ataque se inicia com o envio de um arquivo compactado (.ZIP) via WhatsApp, frequentemente disfarçado como conteúdo exclusivo que supostamente só pode ser aberto em computadores. Dentro do arquivo, as vítimas encontram um atalho malicioso (.LNK) que, ao ser executado, dá início a uma complexa cadeia de infecção.
Detalhes da engenharia do vírus Maverick
O código do trojan Maverick demonstra um alto nível de sofisticação, com uma etapa inicial de verificação para confirmar se o computador infectado está configurado para o Brasil. A ameaça analisa o idioma, o fuso horário e até o formato de data e hora do sistema, prosseguindo com a instalação apenas se as configurações corresponderem ao perfil brasileiro. Uma vez ativo, o malware opera predominantemente na memória do computador, o que dificulta significativamente a sua detecção por sistemas de segurança convencionais.
Essa seletividade geográfica reforça o objetivo dos cibercriminosos, que visam especificamente os clientes de instituições financeiras brasileiras.
O Maverick é capaz de monitorar 26 bancos e 6 corretoras de criptomoedas, esperando que a vítima tente acessar uma dessas plataformas para então roubar as credenciais.
Ameaça utiliza o WhatsApp Web para se alastrar
Um dos fatores que potencializam a rápida disseminação do Maverick é a sua capacidade de explorar o WhatsApp Web como ferramenta de propagação em massa. Após infectar um dispositivo, o vírus assume o controle da conta do WhatsApp da vítima e reenvia o arquivo .ZIP malicioso de forma automatizada para contatos e grupos.
Essa técnica de auto-propagação garante que o trojan atinja um grande número de potenciais vítimas em um curto período, muitas vezes se aproveitando da confiança que o usuário tem no remetente conhecido.
É fundamental que os usuários desconfiem de qualquer anexo inesperado, mesmo que proveniente de amigos ou familiares, e sempre confirmem a autenticidade do arquivo por um canal secundário, como uma ligação telefônica.
Sinais de infecção e ações preventivas cruciais
Especialistas em segurança cibernética apontam que o novo trojan bancário compartilha semelhanças de código e técnicas de ataque com o trojan Coyote, analisado pela Kaspersky no início do ano. Esta conexão sugere uma possível evolução das táticas de grupos criminosos brasileiros conhecidos.
Usuários podem notar diversos indícios de que o computador foi comprometido, exigindo atenção imediata:
- Mensagens automáticas e não autorizadas enviadas pelo WhatsApp Web.
- Lentidão abrupta ou travamentos incomuns no desempenho da máquina.
- Janelas pop-ups não solicitadas pedindo senhas ou indicando supostas atualizações de software.
Caso haja suspeita de infecção, a recomendação é desconectar imediatamente o computador da internet para interromper a comunicação do malware com os servidores dos criminosos. Em seguida, é crucial executar uma varredura completa com um antivírus robusto e, de imediato, alterar as senhas de acesso a contas de e-mail, redes sociais e, principalmente, as credenciais bancárias. Para maior segurança, o uso de autenticação em duas etapas é indispensável em todas as contas digitais.
