A ESET, empresa de detecção proativa de ameaças, alertou sobre um e-mail falso que se passa por uma mensagem da comunicação oficial do WhatsApp para conquistar a confiança da vítima.
A intenção é que o destinatário baixe uma suposta cópia de backup das conversas e do histórico de chamadas no aplicativo de mensagens. No entanto, o verdadeiro objetivo do e-mail é fazer com que a vítima baixe um vírus, o Trojan bancário Grandoreiro, que rouba credenciais bancárias.
Veja também: Golpe do e-mail falso do WhatsApp baixa vírus bancário
No e-mail falso do WhatsApp, a mensagem inclui um anexo chamado “Open_Document_513069.html”. Este é um arquivo HTML que contém um URL encurtado pelo serviço bitly.
De acordo com uma análise realizada do HTML anexado, clicar nele redireciona para um site no qual é feito o download de um arquivo .zip. Esse arquivo compactado contém um instalador MSI que baixa a ameaça, o trojan bancário Grandoreiro. Se o usuário executar o arquivo baixado, o computador provavelmente será infectado com o malware.
A ESET fez uma análise detalhada do Grandoreiro publicada pela ESET. Nela, a empresa descreve que ele é um Trojan bancário escrito em Delphi que compartilha muitas características com outras famílias de Trojan muito ativas na América Latina. Algumas dessas famílias se expandiram para além da América Latina e começaram a direcionar suas campanhas para usuários na Espanha e em outros países europeus.
Em 2020, o Grandoreiro estava presente principalmente em países como Brasil, Espanha, México e Peru. E logo após a pandemia ser decretada, foram detectados e-mails nos quais o tema covid-19 era usado para enganar os usuários.
O que o Grandoreiro faz?
Depois de infectar o computador da vítima, o principal objetivo desse Trojan é roubar credenciais bancárias por meio de pop-ups falsos que fazem a vítima acreditar que é o site oficial do banco.
Além disso, como os outros cavalos de Troia bancários da América Latina, ele possui funcionalidades chamadas de backdoor, que permitem ao invasor realizar outras ações maliciosas no computador comprometido. Entre elas, está o registro de pressionamentos de tecla (keylogging, para obter senhas), simulação de ações de mouse e teclado, logout da vítima, bloqueia o acesso a determinados sites ou mesmo reinicialização do computador.
De acordo com os dados da ESET, os logs dos últimos 90 dias para a mesma variante Grandoreiro detectada nesta campanha de e-mail falso do WhatsApp mostram a atividade do Trojan principalmente na Espanha, mas também no México e no Brasil. A ESET, no entanto, não confirma que se trate da mesma campanha.
Segundo a empresa, esse tipo de estratégia de engenharia social – termo que descreve golpes que enganam pessoas a baixar um vírus – normalmente é reutilizada em diferentes países. Por isso, é necessário se informar sobre esses tipos de campanhas para evitar cair na armadilha caso receba um e-mail com essas características.
No site do Escritório de Segurança da Internet da Espanha, eles não descartam que existam outros e-mails em circulação com assuntos diversos.
Brasil é o principal alvo desse tipo de golpe
Também chamados de phishing (termo que deriva do verbo pescar em inglês), um em cada cinco brasileiros sofreu pelo menos uma tentativa de ataque de engenharia social em 2020. A estatística é do Kaspersky, outro fornecedor de soluções de segurança e coloca o Brasil como líder mundial em golpes dessa categoria. O País fica à frente de Portugal, França, Tunísia e Guiana Francesa, que completam a lista dos cinco países com maior índice de usuários alvos de roubo de dados ao longo do ano.
Com o início da pandemia, os ataques de phishing se intensificaram no Brasil. Somente de fevereiro a março – quando começaram as primeiras medidas locais de isolamento – o número de ameaças contra dispositivos móveis cresceu mais de 120%. Algumas razões estimularam a maior ação dos hackers: o aumento do uso da internet, do acesso aos serviços de internet e mobile banking, aumento das compras online, a adoção em larga escala do trabalho remoto e a ansiedade por informações sobre a pandemia.
Em 2020, muitos dos ataques de phishing abusaram da temática da covid-19 para roubo de informações como: dados pessoais, credenciais de contas online e, principalmente, senhas bancárias. As manobras usadas pelos cibercriminosos foram desde ofertas de máscaras e álcool gel, a falsas inscrições para programas auxílios sociais, o cadastro do Pix e, mais recentemente, páginas fraudulentas de cadastro para a vacina.