Pesquisadores da Trend Micro reportaram uma nova ameaça para os usuários de WhatsApp Web no Brasil, que funciona em navegadores para PC. O caso em questão se trata do agente malicioso anteriormente batizado de Water Saci (Saci D’água), que modificou seus métodos de ataque para uma abordagem ainda mais sofisticada e perigosa.
A infecção passa por etapas simples, e possui o desconhecimento ou ingenuidade do usuário como ponto de falha inicial. Adiante, com o sistema operacional já comprometido pelo vírus, os criminosos fazem uma busca complexa por dados financeiros e bancários, até finalmente roubá-los.
smart_display
Nossos vídeos em destaque
Em paralelo, um código toma controle do WhatsApp da vítima, e envia mensagens com links e arquivos infectados para todos seus contatos – sem exigir qualquer comando dos criminosos. Todo o processo é baseado em camadas e conta com apoio de inteligência artificial.
Water Saci se esconde no PC de vítimas em busca de dados bancários
As primeiras etapas da infecção no novo método do Water Saci não inovam, e seguem a tradição de enganar o usuário por meio do phishing. Derivado do inglês, o termo refere-se a “pescaria” de vítimas, em que as iscas são mensagens fraudulentas que evocam sensação de urgência ou perigo. Uma vez “fisgadas”, elas são induzidas a enviar dados pessoais, dados bancários, realizar pagamentos ou interagir com arquivos maliciosos – permitindo ataques mais sofisticados, por consequência.
Neste caso, justamente, o objetivo é um dos piores cenários: a infecção. As vítimas em potencial recebem mensagens enganosas de contatos confiáveis ou verificados no WhatsApp, solicitando que abram um arquivo criminoso. O relatório da Trend Micro destaca os formatos utilizados, que também modificam as consequências do ataque.
Em certo formato, o usuário pode descompactar um malware após receber um arquivo .ZIP – uma abordagem bastante tradicional entre criminosos. No entanto, o relatório revela que algumas vítimas receberam arquivos PDFs que, quando inicializados, solicitavam uma atualização falsa. Sem surpresas, assim que a nova versão é instalada, uma brecha perigosa é aberta no sistema.
Contudo, o destaque fica para as vítimas que receberam arquivos .HTA, que executam automaticamente um código malicioso quando abertos. Mais moderno, esse processo simplifica a abordagem dos criminosos, que passam por menos etapas até comprometer o dispositivo-alvo.
Uma vez invadidos, o sistema se conecta a um servidor remoto dos atacantes, e baixa alguns arquivos de apoio. Entre eles, está um instalador de programa para Windows (MSI) e um script na linguagem de programação Python.
Enquanto o instalador MSI é o portador do Trojan Bancário, o script faz uma varredura no sistema em busca de atividades financeiras. Como é de costume no Brasil, os bancos usam extensões e módulos de segurança para funcionar, que deixam arquivos e pastas no computador. Justamente, esses rastros são coletados pelo código, ajudando os criminosos a identificar qual é a instituição financeira utilizada pelo cliente.
Esses são os bancos visados pelos criminosos:
- Banco do Brasil
- BMG
- Bradesco
- BS2
- BTG Pactual
- CEF
- Itaú
- Santander
- Sicoob
- Sicredi
As informações, então, são catalogadas e dão início a um complexo processo de infiltração e ofuscação no sistema. Nesta etapa, antivírus são desarmados, históricos de navegador são copiados, e processos do Windows modificados. Ao fim do processo, o malware passa a ser iniciado e reiniciado todas às vezes em que a vítima abre uma janela ligada ao seu banco.
Adiante, os criminosos podem coletar senhas e outras informações que garantem acesso aos serviços bancários. Além disso, há também risco de perda de arquivos pessoais e monitoramento em tempo real do sistema afetado.
Como o vírus do WhatsApp feito por Water Saci se propaga?
Em paralelo à primeira etapa, outro script em Python é baixado dos servidores do Water Saci – “whatsz.py”. Sua função é, essencialmente, automatizar o envio de malware para todos os contatos da vítima afetada. Para isso, o código utiliza o Selenium, além do apoio de algumas bibliotecas específicas.
Analisando o código do “whatsz.py”, o relatório da Trend Micro revela que o Water Saci utilizou recursos de Grandes Modelos de Linguagem (LLM), como Gemini e ChatGPT, para aperfeiçoar sua lógica. Entre os destaques, os pesquisadores citam um sistema de funções otimizadas de mensagem, além de uma extensa automatização de status e classes.
Como se proteger de vírus como o de Water Saci no WhatsApp?
Ao fim do relatório da Trend Micro, os pesquisadores reforçaram algumas medidas de segurança para evitar a infecção por ameaças como essa. Confira abaixo, na íntegra:
- Desative downloads automáticos no WhatsApp: isso evita que arquivos maliciosos sejam baixados sem perceber;
- Controle transferências de arquivos em aplicativos pessoais: em dispositivos da empresa, bloqueie ou limite o envio de arquivos por apps como WhatsApp, Telegram ou WeTransfer;
- Treine os funcionários: campanhas recentes mostram que empresas são alvo preferencial. Treinamentos ajudam a reconhecer riscos de anexos e links suspeitos, mesmo quando enviados por contatos conhecidos;
- Prefira canais seguros para documentos corporativos: incentive o uso de plataformas oficiais e aprovadas pela empresa;
- Reforce a segurança de e-mails e mensagens: limite o acesso a contas pessoais em dispositivos corporativos e use filtros para bloquear sites e domínios maliciosos;
- Exija autenticação em duas etapas (MFA): isso dificulta invasões em serviços na nuvem e sistemas online. Oriente também a sair das contas após o uso e limpar cookies e tokens regularmente.