Panorama e descoberta
Pesquisas da K7 Security Labs, reportadas por Cyber Security News, descrevem uma cadeia de ataque que começa com e-mails de phishing contendo arquivos ZIP que incluem scripts VBS fortemente ofuscados. O alvo principal é o ecossistema financeiro brasileiro: a variante foi catalogada como parte da campanha mais ampla chamada Water‑Saci.
Vetor e mecanismo de propagação
O ataque combina várias técnicas para contornar controles tradicionais:
- Os e‑mails entregam um VBS arquivado que, ao ser executado, baixa e instala uma runtime Python e componentes do Selenium WebDriver necessária para automatizar o navegador.
- Um script Python (whats.py) copia dados do perfil do navegador (cookies, local storage, IndexedDB, Service Worker) para um diretório temporário e utiliza a opção user‑data‑dir do Chrome/Chromium para iniciar uma instância que aproveita uma sessão já autenticada no WhatsApp Web, evitando a necessidade de QR code.
- Em seguida, o código injeta JavaScript auxiliar obtido no GitHub no contexto da página do WhatsApp, acessando APIs internas como WPP.contact.list, WPP.chat.sendTextMessage e WPP.chat.sendFileMessage para enumerar contatos e enviar mensagens.
Componentes de persistência e etapas posteriores
O pacote entregue pela campanha inclui um instalador MSI que deposita um script AutoIt e arquivos de payload cifrados. Há também um componente que modifica chaves de registro para manter persistência e monitora janelas ativas procurando por termos relacionados a bancos brasileiros e carteiras de criptomoedas.
Quando são detectadas aplicações ou janelas relacionadas a instituições financeiras, o malware decifra e carrega um trojan bancário diretamente em memória, reduzindo vestígios em disco e dificultando detecção por mecanismos baseados em arquivos.
Alcance e impacto
As fontes indicam foco em usuários brasileiros e em alvos que possuam logins ativos no WhatsApp Web. O vetor de distribuição por contatos torna a campanha especialmente eficaz para movimentar‑se lateralmente entre redes de confiança — mensagens parecem vir de contatos conhecidos, aumentando taxa de cliques.
Mitigações práticas
- Educar usuários para não executar anexos VBS ou MSI recebidos por e‑mail, mesmo quando parecem vir de contatos.
- Aplicar políticas de hardening em estações de trabalho: bloqueio de execução de scripts sem assinatura, controle de instalação de Python/ChromeDriver via whitelisting e monitoramento de cópia de perfis de navegador.
- Implementar detecções para execução atípica do Selenium/Chrome com user‑data‑dir e para processos que iniciem pythonw.exe a partir de diretórios atípicos.
- Reforçar MFA e rotinas de resposta para contas financeiras; auditar endpoints quanto a atividades de injeção em processo do navegador.
O que as fontes não detalham
As matérias consultadas não informam contagens precisas de máquinas comprometidas nem indicadores de compromisso (IOCs) completos além de alguns nomes de domínio e artefatos de arquivo. Também não há atribuição do ator além da classificação na família Water‑Saci pelas equipes que analisaram o código.
Relevância regulatória
Para organizações brasileiras, incidentes que resultem em comprometimento de dados de clientes ou transações financeiras podem implicar obrigações sob a LGPD; as entidades afetadas devem acionar equipes de resposta e considerar notificações conforme riscos identificados.
Fontes
Relatório de K7 Security Labs, reproduzido por Cyber Security News.