Hackers aproveitando o WhatsApp para coletar registros e detalhes de contato silenciosamente – Against Invaders

Hackers aproveitando o WhatsApp para coletar registros e detalhes de contato silenciosamente - Against Invaders

Pesquisadores de segurança do K7 Labs descobriram uma sofisticada campanha de phishing direcionada a usuários brasileiros que explora o WhatsApp Web para distribuir malware e roubar informações financeiras confidenciais.

O ataque utiliza scripts de automação de código aberto do WhatsApp combinados com trojans bancários, espalhando-se silenciosamente pelos contatos das vítimas enquanto coleta logs, credenciais e dados pessoais.

A campanha, identificado como parte das variantes de malware Water-Saci, começa inofensivamente com um e-mail de phishing contendo um arquivo ZIP com um script VBS malicioso.

A carga útil inicial usa codificação charcode e XOR para evitar a detecção antivírus baseada em assinatura, mascarando sua funcionalidade real das soluções de segurança.

Uma vez executado, o script baixa e instala ferramentas legítimas Python, ChromeDriver e Selenium webdriver usadas para automatizar o WhatsApp Web.

O recurso mais insidioso do malware é a capacidade de sequestrar sessões do WhatsApp sem exigir autenticação por código QR.

O script Python (whats.py) enumera perfis de navegador do Chrome, Firefox e Edge, extraindo artefatos de sessão, incluindo cookies, armazenamento local e arquivos IndexedDB.

Ao aproveitar esses tokens de sessão roubados, o malware inicia um navegador com os dados autenticados da vítima. WhatsApp Web sessão já ativa, ignorando completamente a verificação de login.

Uma vez autenticado, o malware injeta JavaScript malicioso no WhatsApp Web para acessar APIs internas.

Usando funções como WPP.contact.list() e WPP.chat.sendFileMessage(), ele coleta metodicamente a lista de contatos da vítima, filtra grupos e empresas e envia mensagens de saudação seguidas pela carga maliciosa.

O script descarta um script .bat que baixa e instala Python.zip, ChromeDriver.exe ePIPpara baixar o webdriver do Selenium e executar um script Pythonwhats.py.

O anexo é transferido inteiramente na memória como uma string codificada em Base64, nunca tocando no disco, uma técnica projetada para evitar a detecção de antivírus.

Este mecanismo de distribuição baseado em confiança é particularmente eficaz porque os destinatários veem mensagens provenientes de contactos conhecidos, aumentando drasticamente a probabilidade de executarem o anexo.

Trojan bancário e reconhecimento de sistema

Paralelamente à propagação do WhatsApp, um Instalador MSI implanta um script AutoIt que monitora janelas ativas para aplicativos bancários brasileiros, exchanges de criptomoedas e plataformas financeiras.

Quando uma instituição visada é detectada, o script descriptografa e descompacta uma carga armazenada em arquivos criptografados .tda e .dmp, carregando o trojan bancário inteiramente na memória usando técnicas de injeção reflexiva.

Para cada contato validado, ele envia uma mensagem de saudação, depois o arquivo de carga útil e a mensagem final: (1)sendTextMessage(número, saudação), (2)sendFileMessage(número, inMemoryFile), (3)sendTextMessage(número, fechamento).

Antes de executar o trojan, o malware realiza um extenso reconhecimento do sistema, consultando o WMI para identificar produtos antivírus instalados, incluindo Windows DefenderMcAfee, ESET, Kaspersky e outros.

Ele coleta nome do computador, informações do sistema operacional, endereços IP externos e locais, aplicativos de segurança instalados e, principalmente, histórico do navegador do Chrome para identificar sites bancários brasileiros visitados.

O trojan bancário visa especificamente mais de 20 instituições financeiras brasileiras e bolsas de criptomoedas, incluindo Banco do Brasil, Bradesco, Itaú, Santander, Binance e Coinbase.

Recomendações

As informações do sistema e os contatos coletados são filtrados para sistemas controlados pelo invasor. Servidores PHP por meio de solicitações HTTP POST formatadas em JSON, permitindo rastreamento de campanha em tempo real e atualizações de configuração.

Este ataque em vários estágios demonstra como os cibercriminosos combinam engenharia social com automação sofisticada e malware residente na memória para contornar as defesas tradicionais.

A dependência do ataque na distribuição confiável de contatos o torna particularmente perigoso.

Organizações e indivíduos devem implementar soluções de segurança que detectem comportamento anômalo do WhatsApp, monitorem acessos não autorizados a sessões e bloqueiem a execução de arquivos suspeitos em plataformas de comunicação.

Os funcionários devem verificar anexos de arquivos inesperados diretamente com os contatos por meio de canais de comunicação alternativos antes de abrir qualquer arquivo, independentemente da aparente legitimidade do remetente.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.