 |
| Foto reprodução G1 |
A inteligência artificial vem sendo explorada também pelo cibercrime e já está sendo usada para tornar ataques digitais mais sofisticados. Pesquisadores de segurança identificaram uma nova versão de um vírus bancário que se espalha pelo WhatsApp Web e utiliza recursos de IA para acelerar seu desenvolvimento e ampliar o alcance das fraudes.
O malware, batizado de Sorvepotel, tem como alvo principal usuários brasileiros e foi analisado por especialistas da empresa de cibersegurança Trend Micro. A primeira versão da ameaça havia sido identificada em outubro, mas agora os criminosos atualizaram o código, tornando-o mais eficiente e difícil de detectar.
Assim como na versão inicial, o vírus assume o controle do WhatsApp Web da vítima para enviar o mesmo arquivo malicioso a outros contatos e exibe páginas falsas de bancos para capturar senhas. A principal novidade é que o malware passou a ser baseado na linguagem Python. Segundo a Trend Micro, há fortes indícios de que ferramentas automatizadas, como modelos de linguagem ou sistemas de tradução de código, tenham sido usadas para acelerar essa adaptação.
Entre os sinais de uso de IA estão melhorias visíveis na estrutura do código, mudanças na aparência e até o uso de emojis, além da rapidez com que a nova versão foi desenvolvida a partir da anterior. Os criminosos costumam enviar mensagens com supostos comprovantes de pagamento, orçamentos ou documentos empresariais, acompanhadas de instruções como “tenta abrir no computador”.
Além do roubo de credenciais bancárias, as vítimas correm o risco de ter a conta do WhatsApp banida, já que o disparo automático de mensagens pode ser interpretado pela plataforma como prática de spam.
De acordo com os pesquisadores, a nova variante é compatível com mais navegadores e consegue enviar mensagens maliciosas com maior velocidade. “Esta nova onda apresenta técnicas mais avançadas de infecção, persistência e evasão, mostrando como plataformas legítimas estão sendo cada vez mais exploradas para atingir alvos brasileiros de forma mais eficaz”, alertou a Trend Micro.
Como o ataque funciona
Segundo a empresa de segurança, o golpe segue um padrão:
Os cibercriminosos enviam arquivos que parecem documentos legítimos, como orçamentos ou comprovantes, geralmente nos formatos ZIP, PDF ou HTA;
Ao baixar e executar o arquivo, a vítima cria uma conexão entre o computador e o servidor de comando dos hackers;
A partir dessa conexão, é feito o download de um instalador que infecta o dispositivo com o vírus bancário;
O malware coleta informações da máquina, como idioma do sistema, uso de antivírus e indícios de acesso a bancos;
Em seguida, passa a executar comandos para criar páginas falsas, capturar senhas digitadas, tirar prints da tela e vasculhar o histórico de navegação em busca de acessos a instituições financeiras.
Os pesquisadores explicam que, no Brasil, muitos bancos exigem módulos de segurança específicos para acesso às contas. Essa exigência é explorada pelos atacantes como uma forma de identificar qual instituição a vítima utiliza.
Computador sob controle
De acordo com o líder técnico da Trend Micro Brasil, Marcelo Sanches, a estratégia não explora falhas no WhatsApp, mas sim a distração dos usuários. “Abre-se uma porta de comunicação que permite ao atacante enviar instruções, atualizar o malware e assumir o controle do computador. A máquina passa a funcionar como um ‘zumbi’”, afirmou.
A investigação inicial mostrou que o Sorvepotel afetou principalmente órgãos governamentais e serviços públicos, mas também atingiu empresas dos setores industrial, tecnológico, educacional e da construção civil. O foco segue sendo usuários brasileiros, identificado por checagens de idioma, localização e formato de data no sistema.
Como se proteger
A Trend Micro alerta que os criminosos miram especialmente computadores corporativos usados por funcionários para acessar contas pessoais no WhatsApp Web. Para reduzir os riscos, especialistas recomendam:
desativar o download automático de arquivos no WhatsApp;
restringir downloads em dispositivos corporativos;
promover treinamentos sobre riscos de arquivos suspeitos;
desconfiar de mensagens que solicitam permissões em navegadores;
confirmar por outros meios (telefone ou pessoalmente) se o envio do arquivo foi realmente intencional.
A orientação principal é simples: diante de qualquer dúvida, não abra o arquivo. A prevenção continua sendo a melhor defesa contra golpes cada vez mais sofisticados.
Fonte: G1
