Fonte:

Uma análise da empresa de cibersegurança Trend Micro estudou a campanha maliciosa Water Saci, conhecida por entregar o malware SORVEPOTEL e se propagar pelos contatos de computadores invadidos pelo WhatsApp Web, e notou evoluções preocupantes nos seus métodos. O que é phishing e como se proteger? O que é Engenharia Social? Aprenda a identificar e se proteger de golpes Segundo os pesquisadores, os hackers mudaram de tática ao trocar de código PowerShell para o Python, com indicações do uso de IA na confecção dos novos malwares. Isso permitiu uma maior compatibilidade com navegadores, uma melhor resposta a erros e automação mais rápida do espalhamento por WhatsApp Web. Water Saci e seus novos métodos A campanha Water Saci se baseia em engenharia social, no convencimento do usuário para que interaja com o conteúdo malicioso entregue especificamente para usuários brasileiros. Enquanto vários receberam o malware em arquivos ZIP e PDF, incluindo até mesmo mensagens de atualização do Adobe Acrobat para fazer com que o usuário clique, há novos desenvolvimentos. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Uma das mensagens de phishing e engenharia social usadas pelos golpistas para fazer o usuário clicar no arquivo malicioso (Imagem: Trend Micro/Divulgação) Alguns casos incluíram o formato .hta, que executa o script embutido imediatamente após aberto, sem necessidade de mais interações do usuário. Nesse caso, é trazido um script do Visual Basic (VB) que usa duas camadas de ofuscamento para fugir da detecção e evitar análises de antivírus. Uma vez no computador, são revelados comandos para criar um arquivo na pasta C:tempinstalar.bat, trazendo um instalador .MSI do servidor C&C hacker e o script Python malicioso. Scripts Autolt são usados para checar a língua usada pelo sistema: se for Português Brasileiro, o programa roda, mas, caso contrário, é exibida uma mensagem de erro na língua detectada (inglês, espanhol ou desconhecida), fechando o programa. Em seguida, a função DETECTARBANCO é rodada, buscando sinais do uso de aplicativos bancários na máquina.  Cadeia de infecção que leva ao arquivo "instalar.bat" malicioso a infectar o computador, segundo análise dos especialistas (Imagem: Trend Micro/Divulgação) São verificados também acessos do navegador a sites de banco e antivírus na máquina, cobrindo até 20 aplicativos de segurança diferentes. Além de instituições como Banco do Brasil, Bradesco, Itaú e Santander, também são buscadas plataformas como Mercado Pago, Binance, Bitcoin Trade e Blockchain.com, ou seja, ferramentas de bolsa de valores e criptomoedas. Você pode conferir a lista completa no site da Trend Micro. A evolução da campanha mostra a sofisticação dos métodos dos golpistas, integrando automação com evasão de detecção e acesso do computador a longo prazo. Aos usuários, é recomendado desabilitar downloads automáticos no WhatsApp, controlar a transferência de arquivos em aplicativos pessoais (com firewall ou antivírus) e se educar sobre a cibersegurança. Visto que a maioria dos alvos é corporativa, os pesquisadores também recomendam lançar campanhas informativas aos funcionários, melhorando protocolos de segurança de e-mail e comunicações diversas, implementar autenticação por duas etapas e limitar os aplicativos permitidos em dispositivos pessoais usados para trabalho, por exemplo. Veja mais: Brasil é alvo de novo vírus que se espalha sozinho pelo WhatsApp Web Mais de 30 falhas em assistentes de programação com IA permitem roubo de dados Sua IA de programação pode estar obedecendo a hackers sem você saber VÍDEO | O app do WHATSAPP (como conhecemos) vai DEIXAR de EXISTIR no Windows: e agora?   Leia a matéria no Canaltech.

---

Clique aqui para ver toda notícia no site oficial.