Ao analisarem a nova versão de um vírus que se espalha pelo WhatsApp Web, pesquisadores de segurança demonstraram que a inteligência artificial pode ser usada para aplicar ataques cibernéticos e ajudar hackers a roubar senhas de bancos.
Os hackers atualizaram o ataque Sorvepotel com foco em usuários no Brasil. O ataque havia sido descoberto em outubro por especialistas da empresa de cibersegurança Trend Micro. Conforme os pesquisadores, essa nova versão da ameaça é compatível com mais navegadores e pode entregar mensagens com mais rapidez.
O que muda na atualização
Como na primeira versão do ataque, o vírus exibe versões adulteradas de sites de bancos e assume o controle do WhatsApp Web para enviar o mesmo arquivo falso para contatos de vítimas. Porém, na atualização foi identificado que o vírus passou a ser baseado na linguagem de programação Python.
Os indícios de que o novo vírus foi gerado por IA incluem melhorias na estrutura e aparência do código, que inclusive pode usar emojis, e a velocidade de desenvolvimento semelhante ao vírus original.
Os hackers usam o WhatsApp para disparar supostos comprovantes de pagamento ou orçamentos de empresas. Para a vítima, há o risco de ter suas senhas roubadas e ter a conta banida do aplicativo, pois o WhatsApp pode considerar o envio repetido de mensagens como spam.
Como ocorre o ataque
- Cibercriminosos abordam as vítimas com arquivos que se passam por documentos verdadeiros, como orçamentos, mas que incluem somente conteúdo falso, que costumam estar nos formatos ZIP, PDF ou HTA
- Vítimas baixam os arquivos e são levadas a executá-los, criando uma conexão entre suas máquinas e a central de comando dos hackers;
- A central dos hackers força o download de um arquivo de instalação que, quando executado, infecta o dispositivo com o vírus bancário
- O vírus busca informações sobre a máquina, incluindo o idioma do sistema operacional, que indica se a vítima é brasileira, e registros que mostrem atividades bancárias e o uso de antivírus
- Após obter informações, o vírus começa a agir, ao acionar comandos que criam páginas falsas de banco, capturar senhas digitadas com o teclado e fazer capturas de tela.
Segundo a Trend Micro, o vírus procura pastas com nomes de bancos e dados no histórico de navegação que mostrem o acesso a sites de instituições bancárias.
— No Brasil, o acesso à maioria dos grandes bancos exige módulos de segurança desenvolvidos por empresas independentes — dizem os pesquisadores. — Os atacantes sabem disso e usam essa exigência como um método confiável para identificar o banco principal da vítima.
Hackers transformam computador em "zumbi"
A tática dos criminosos aproveita a distração das vítimas e é capaz de transformar a máquina em um "zumbi", mas não envolve uma falha no próprio WhatsApp, segundo o líder técnico da Trend Micro Brasil, Marcelo Sanches, em entrevista ao g1.
— É aberta uma porta de comunicação e, a partir disso, o sistema de ataque passa a receber instruções, podendo se atualizar ou receber comandos externos. A máquina da vítima fica sob comando do atacante — disse Marcelo. — Nesse momento, esse ataque é orientado a vítimas no Brasil. Tanto é que na execução do malware, ele faz algumas checagens de idiomas, localização, formato da data para validar se aquilo tem relação com um usuário brasileiro.
Como se proteger
Os pesquisadores afirmam que os hackers parecem ter como foco computadores corporativos, mas atacam em contas de WhatsApp Web de funcionários, que usam as máquinas do trabalho para ver mensagens pessoais.
Os pesquisadores da Trend Micro orientam usuários e empresas a:
- Desativar downloads automáticos no WhatsApp;
- Restringir downloads em dispositivos corporativos;
- Realizar treinamentos sobre riscos de baixar arquivos suspeitos;
- Desconfiar de mensagens que pedem permissões em navegadores;
- Confirmar com a pessoa por outros meios (telefone ou pessoalmente) se o envio do arquivo foi intencional.
Fique por dentro do que é notícia no RS, no Brasil e no mundo: baixe o app de GZH e acompanhe a Rádio Gaúcha de graça no seu celular