A equipe de pesquisa da Acronis identificou uma evolução perigosa no malware bancário Astaroth. Batizada de "Boto Cor-de-Rosa", a nova campanha utiliza o WhatsApp Web como vetor de ataque, enviando mensagens automáticas para a lista de contatos da vítima e ampliando o alcance da infecção.
O foco continua sendo quase exclusivamente o Brasil. O malware explora o hábito nacional de usar o WhatsApp para comunicações diárias, aumentando as chances de sucesso dos criminosos ao se passar por pessoas conhecidas.
Como funciona o golpe
A infecção começa de forma simples: o usuário recebe um arquivo ZIP malicioso via WhatsApp. Ao abrir e extrair o conteúdo, um script é executado, baixando dois módulos principais no sistema:
- Módulo de Propagação (Python): Este novo componente coleta a lista de contatos do usuário e envia o arquivo malicioso para todos eles automaticamente.
- Módulo Bancário (Delphi): Age silenciosamente, monitorando a navegação e roubando senhas assim que o usuário acessa sites de bancos.
Para tornar a armadilha convincente, o malware utiliza saudações automáticas baseadas no horário (como "Bom dia" ou "Boa tarde") e linguagem casual, como: "Aqui está o arquivo solicitado. Qualquer dúvida, fico à disposição!".
Engenharia social e segurança
A campanha se destaca pelo monitoramento em tempo real: o vírus registra quantas mensagens foram enviadas com sucesso e envia os dados para servidores remotos. Essa abordagem modular e multilíngue dificulta a detecção por antivírus comuns.
A Acronis recomenda atenção máxima ao receber arquivos não solicitados, mesmo de contatos confiáveis. A orientação é não abrir anexos estranhos e adotar soluções de segurança em camadas que possam identificar ataques baseados em engenharia social.