.png)
há 4 dias
8
Pesquisadores identificaram uma nova campanha de malware que utiliza o WhatsApp Web para distribuir trojans bancários voltados a instituições financeiras e exchanges de criptomoedas no Brasil. O ataque começou em 29 de setembro de 2025 e já comprometeu mais de 400 ambientes e 1.000 endpoints.
Leia também
Pesquisa revela falhas exploráveis no ecossistema Gemini da Google
Falha em todas as versões do Redis dos últimos 13 anos
A infecção inicia quando a vítima recebe um arquivo ZIP malicioso de um contato comprometido. A mensagem afirma que o conteúdo só pode ser visualizado em um computador, o que induz o usuário a baixar e executar o arquivo em um ambiente desktop. Dentro do ZIP há um arquivo LNK que aciona um comando PowerShell ofuscado, responsável por baixar novos estágios do ataque a partir de domínios controlados pelos invasores, como zapgrande[.]com, expansiveuser[.]com e sorvetenopote[.]com.
O código malicioso modifica configurações de segurança do Windows, incluindo exclusões no Microsoft Defender e desativação do UAC, criando um ambiente permissivo para execução sem alertas. A campanha entrega dois payloads principais: um pacote Selenium com ChromeDriver, usado para automatizar sessões do WhatsApp Web e permitir a autopropagação, e o trojan bancário Maverick, que monitora o tráfego do navegador em busca de conexões com bancos e exchanges brasileiras para roubo de credenciais.
Devido à capacidade de se espalhar automaticamente e executar ações sem interação do usuário, o worm representa risco elevado. A recomendação é evitar a abertura de anexos ZIP enviados por WhatsApp, restringir o uso de PowerShell e revisar logs de segurança em busca de execuções codificadas.
English (US) · 
Portuguese (BR) ·