Pesquisadores de segurança cibernética divulgaram detalhes de uma nova campanha que usa o WhatsApp como vetor de distribuição para um trojan bancário do Windows chamado Astaroth em ataques direcionados ao Brasil.
A campanha foi codinome Boto Cor-de-Rosa pela Unidade de Pesquisa de Ameaças da Acronis.
“O malware recupera a lista de contatos do WhatsApp da vítima e envia automaticamente mensagens maliciosas para cada contato para espalhar ainda mais a infecção”, disse a empresa de segurança cibernética.
“Embora a carga útil principal do Astaroth permaneça escrita no Delphi e seu instalador dependa do script Visual Basic, o recém-adicionado módulo de worm baseado no WhatsApp é implementado inteiramente em Python, destacando o crescente uso de componentes modulares multilíngues pelos atores de ameaças.”
Astaroth, também chamado de Guildma, é um malware bancário que foi detectado na natureza desde 2015, visando principalmente usuários na América Latina, particularmente o Brasil, para facilitar o roubo de dados. Em 2024, vários clusters de ameaças rastreados como PINEAPPLEPINEAPPLE e Water Makara foram observados alavancando e-mails de phishing para propagar o malware.
O uso do WhatsApp como veículo de entrega para trojans bancários é uma nova tática que ganhou força entre os agentes de ameaças que visam os usuários brasileiros, uma medida alimentada pelo uso generalizado da plataforma de mensagens no país. No mês passado, a Trend Micro detalhou a dependência da Water Saci no WhatsApp para espalhar o Maverick e uma variante do Casbaneiro.
A Sophos, em um relatório publicado em novembro de 2025, disse que está rastreando uma campanha de distribuição de malware em vários estágios com o codinome STAC3150 com um modo de usuários do WhatsApp no Brasil com a Astaroth. Mais de 95% dos dispositivos impactados estavam localizados no Brasil e, em menor grau, nos EUA e na Áustria.
A atividade, ativa desde pelo menos 24 de setembro de 2025, fornece arquivos ZIP contendo um script de download que recupera um script PowerShell ou Python para coletar dados de usuários do WhatsApp para propagação adicional, juntamente com um instalador MSI que implanta o trojan. As últimas descobertas da Acronis são uma continuação dessa tendência, onde os arquivos ZIP distribuídos por meio de mensagens do WhatsApp atuam como um ponto de partida para a infecção por malware.
“Quando a vítima extrai e abre o arquivo, eles encontram um script visual básico disfarçado como um arquivo benigno”, disse a empresa de segurança cibernética. “Executar este script aciona o download dos componentes do próximo estágio e marca o início do compromisso.”
Isso inclui dois módulos
- Um módulo de propagação baseado em Python que reúne os contatos do WhatsApp da vítima e encaminha automaticamente um arquivo ZIP malicioso para cada um deles, efetivamente levando à disseminação do malware de maneira semelhante a um worm
- Um módulo bancário que opera em segundo plano e monitora continuamente a atividade de navegação na web de uma vítima e é ativado quando URLs relacionados ao banco são visitados para colher credenciais e permitir ganho financeiro
“O autor de malware também implementou um mecanismo integrado para rastrear e relatar métricas de propagação em tempo real”, disse Acronis. “O código registra periodicamente estatísticas como o número de mensagens entregues com sucesso, o número de tentativas falhadas e a taxa de envio medida em mensagens por minuto.”
FONTE: THE HACKER NEWS
