Uma campanha de malware em larga escala está usando o WhatsApp como vetor para distribuir o trojan bancário Astaroth, também conhecido como Guildma, com foco principal em vítimas no Brasil. A ameaça combina características de um worm, malware com capacidade de se autopropagar, com funcionalidades avançadas de espionagem bancária, em uma operação que já comprometeu milhares de sistemas.
A propagação acontece por meio de mensagens automáticas enviadas a partir de contas previamente infectadas. Os atacantes utilizam o WhatsApp Web para acessar os contatos da vítima e enviar arquivos ZIP contendo scripts maliciosos disfarçados. Esses arquivos, ao serem abertos em máquinas Windows, instalam silenciosamente o malware, dando continuidade à cadeia de infecção. O Astaroth, uma ameaça antiga na América Latina, foi adaptado nesta campanha para operar com novos módulos.
Um deles é responsável pela disseminação via WhatsApp, enquanto o outro coleta credenciais bancárias, monitorando a atividade do usuário em sites financeiros e capturando informações sensíveis como logins e senhas. A campanha foi apelidada de “Boto-cor-de-rosa” por pesquisadores e já está sendo considerada uma das mais sofisticadas formas de uso do WhatsApp para fins maliciosos. Estima-se que mais de 95% das infecções estejam concentradas no Brasil, embora casos também tenham sido registrados nos EUA e na Áustria.
A técnica de distribuição é especialmente eficaz por explorar a confiança que os usuários têm em mensagens recebidas de contatos conhecidos. Mesmo que a mensagem venha de um amigo ou colega, ela pode conter o arquivo malicioso, tornando a detecção e a prevenção mais difíceis. Os operadores da botnet também utilizam scripts em Python para automatizar o envio das mensagens, além de mecanismos de evasão que dificultam a detecção por antivírus. Após a infecção, o trojan permanece oculto e continua operando em segundo plano, comprometendo a privacidade e a segurança financeira da vítima.
