Pesquisadores da empresa de cibersegurança Acronis identificaram uma ofensiva do malware bancário Astaroth que mira usuários brasileiros. Batizada de Boto Cor-de-Rosa, a campanha utiliza o WhatsApp Web como canal de disseminação, explorando a confiança entre contatos para ampliar o alcance da infecção.
Como o ataque ocorre
O golpe começa quando a vítima recebe, no WhatsApp, uma mensagem enviada por alguém da própria lista de contatos. O texto, em tom informal — “Aqui está o arquivo solicitado. Qualquer dúvida, fico à disposição!” —, acompanha um arquivo .ZIP.
Ao descompactar o conteúdo pelo WhatsApp Web, é executado um script em Visual Basic (VBS) disfarçado de documento legítimo. Esse código inicial baixa dois componentes:
- Módulo bancário (escrito em Delphi) – responsável por capturar credenciais quando o usuário acessa sites financeiros;
- Módulo de propagação (em Python) – encarregado de coletar a lista de contatos da vítima e reenviar o arquivo malicioso de forma automática.
Engenharia social refinada
Para aumentar a taxa de sucesso, o malware adapta a saudação da mensagem (“Bom dia”, “Boa tarde” ou “Boa noite”) conforme o horário local do destinatário. Como o arquivo vem de um contato conhecido, a tendência é que o usuário confie e execute o conteúdo.
Roubo silencioso de credenciais
Enquanto o módulo de propagação transforma cada infectado em novo vetor do golpe, o componente bancário permanece em segundo plano, monitorando a navegação. Ele só entra em ação ao detectar acesso a páginas de bancos ou serviços financeiros, momento em que ativa mecanismos de captura de dados sem alertar o usuário.
Imagem: Daniel Cosntante
Monitoramento em tempo real
O Astaroth também registra métricas de desempenho — número de mensagens enviadas, falhas e taxa de sucesso — e envia essas informações a servidores remotos controlados pelos criminosos. Assim, os operadores avaliam a eficácia da campanha continuamente.
Defesa e recomendações
Segundo a Acronis, soluções de EDR/XDR já identificam e bloqueiam a nova variante, mas a empresa reforça a importância de estratégias de segurança em múltiplas camadas. O principal alerta é para que usuários evitem abrir arquivos não solicitados, mesmo quando recebidos de contatos confiáveis.
Com informações de Olhar Digital
