Um novo golpe que rouba credenciais bancárias e dados financeiros circula no WhatsApp recentemente, apurou o time de Inteligência de Ameaças (Heimdall) da empresa ISH Tecnologia. O ataque foi batizado como “ComprovanteSpray” e pode extrair informações sensíveis do usuário de forma invisível.
No relatório, a ISH Tecnologia destaca que o ComprovanteSpray “representa um risco significativo” aos usuários devido à capacidade de propagação via WhatsApp. O ataque adota o método execução sem arquivo, também conhecido como “fileless”, em que o código malicioso é carregado automaticamente na memória, sem deixar rastros nos arquivos do computador e quase imperceptível para antivírus tradicionais.
O golpe consiste no envio de um arquivo malicioso para a vítima. Basicamente, um contato (conhecido ou desconhecido) envia um arquivo ZIP para o alvo, geralmente alegando se tratar de um comprovante bancário pendente. Se convencido, o destinatário baixa o arquivo e, no momento que da extração do conteúdo no PC, um código é executado no PowerShell, ferramenta de automação de tarefas do Windows.
A campanha mira em vários segmentos de mercado, conforme apurou a ISH. O setor financeiro (bancos e fintechs), varejistas, setor corporativo e usuários finais estão na lista de possíveis vítimas.
Segundo a ISH, o ataque ComprovanteSpray extrai os dados:
- Preferências de idioma;
- Histórico de navegação;
- Permissões concedidas a sites;
- Dados bancários (dados de cartões e Pix);
- Dados de preenchimento automático de navegadores;
- Informações de carteiras de criptomoedas;
- Detalhes do navegador (versão, extensões e mais);
- Cookies de sessão;
- Identificadores de contas Google.
Os dados então são enviados para um servidor hospedado na Cloudflare, assim dificultando a identificação e o bloqueio de tráfego malicioso.
De acordo com o ISH, a ameaça “demonstra um alto grau de automação e evasão”. Portanto, é necessário aplicar estratégias de monitoramento avançadas e ações de mitigação proativas para evitar a disseminação do ataque.
Como evitar ser algo do ComprovanteSpray no WhatsApp?
As recomendações para evitar ser vítima do ComprovanteSpray são bem básicas: sempre desconfie de anexos recebidos por mensagem, independente da fonte. O ideal é sempre verificar a autoria do envio por outro meio, como ligação, videochamada ou pessoalmente.
Além disso, verifique se a política de comunicação do seu banco inclui o disparo de mensagens automáticas por mensageiros. Geralmente, bancos utilizam apenas meios oficiais integrados a aplicativos ou serviços online para entrar em contato com correntistas, então comprovantes, extratos, cobranças e outros avisos não chegarão em caixas de entrada do WhatsApp ou SMS.
Outro detalhe é a extensão do arquivo. Se o documento é um suposto aviso de comprovante bancário pendente, é pouquíssimo provável que ele venha em um arquivo compactado. Esses documentos são geralmente disponibilizados via PDF — contudo, isso também não atesta sua legitimidade.
Fontes
