Descoberta e escopo
Pesquisadores da Trend Micro e analistas publicados pela Cyber Security News documentaram uma cadeia de ataque que começa com mensagens no WhatsApp contendo anexos maliciosos (ZIP, PDFs em isca de atualizações Adobe ou arquivos HTA nomeados com padrão A-{random}.hta). Ao abrir o arquivo, o usuário dispara uma sequência multiestágio que envolve scripts Visual Basic e instaladores MSI para entregar um banking trojan.
Vetor e técnica de propagação
Além do payload inicial, os atacantes implantam automações que sequestram a sessão do WhatsApp Web do usuário (usando ferramentas de browser automation) para enviar a mesma isca em massa aos contatos da vítima, criando um ciclo de propagação auto‑propagante. A campanha também utiliza componentes como chromedriver.exe e Selenium para interagir com navegadores, injetar bibliotecas WA-JS e extrair listas de contatos.
Uso de IA no desenvolvimento
Um aspecto relevante do relatório é a evidência de uso de Large Language Models (LLMs) para reescrever e otimizar código: artefatos analisados trazem cabeçalhos e comentários como "Versao Python Convertido de PowerShell" e notas sobre otimização e tratamento de erros. A migração de rotinas em PowerShell para uma implementação Python robusta — exemplificada pelo script whatsz.py — indica um investimento técnico que melhora portabilidade, automação e resiliência da cadeia de infecção.
Impacto e público alvo
A campanha tem impacto direto em usuários brasileiros, explorando a confiança nas comunicações via WhatsApp. Ao comprometer uma conta, o atacante usa a própria rede social da vítima para ampliar o alcance do banking trojan, o que pode resultar em fraudes financeiras e roubo de credenciais bancárias. As fontes não quantificam vítimas, apenas descrevem o fluxo técnico e os componentes utilizados.
Mitigações recomendadas
- Educação do usuário para não abrir anexos inesperados, mesmo de contatos conhecidos.
- Bloqueio e análise de arquivos ZIP/HTA no gateway de e-mail e nas soluções de segurança de endpoint.
- Monitoramento de processos que invocam automações de navegador (chromedriver.exe, Selenium) fora do contexto de desenvolvimento ou testes.
- Proteções de conta: revisar sessões ativas no WhatsApp Web e usar autenticação robusta onde disponível.
Limitações das análises
Os relatórios citados fornecem artefatos e descrições técnicas, mas não divulgam uma contagem de sistemas comprometidos nem listas de alvos. A confirmação de uso de LLMs baseia-se em metadados e padrões de código observados nos scripts, não em uma declaração direta dos operadores.
Implicações regulatórias
Campanhas que exploram plataformas de mensagens usadas por milhões levantam questões sobre responsabilidades de provedores de serviços e controles de propagação de malware em aplicações de mensageria. No Brasil, incidentes financeiros têm consequências regulatórias e de conformidade (LGPD) quando há tratamento de dados pessoais em vazamentos ou fraudes, portanto equipes jurídicas e de segurança devem acompanhar notificações às autoridades e planos de resposta a incidentes.
Fontes: Cyber Security News; análise técnica da Trend Micro citada no relatório.