computer-1500929_1280.jpg

Astaroth adota o WhatsApp Web como canal de infecção

A Unidade de Pesquisa da Acronis (TRU) identificou uma nova campanha do malware bancário Astaroth, batizada internamente de “Boto Cor-de-Rosa”, que introduz o uso do WhatsApp Web como vetor automatizado de disseminação entre vítimas brasileiras. O trojan, historicamente focado quase exclusivamente no Brasil, agora explora a lista de contatos da própria vítima para enviar, de forma automática, novas mensagens maliciosas via WhatsApp, ampliando o alcance da infecção.

Cadeia de ataque com ZIP malicioso e módulo em Python

Segundo a Acronis, o ataque começa com uma mensagem no WhatsApp contendo um arquivo ZIP malicioso que chega à vítima com aparência de conteúdo legítimo. Ao extrair e executar o script em Visual Basic disfarçado dentro do arquivo, o sistema é comprometido e dois componentes são baixados: o payload bancário do Astaroth e um novo módulo de propagação em Python responsável pela interação com o WhatsApp Web.

Módulos de propagação e roubo bancário em paralelo

Uma vez instalado, o malware se divide em dois módulos que atuam em paralelo: o módulo de propagação coleta automaticamente a lista de contatos da conta WhatsApp da vítima e envia o mesmo arquivo ZIP malicioso a cada contato, criando um ciclo quase “verme” de disseminação. Em segundo plano, o módulo bancário monitora a navegação e, ao detectar acessos a sites financeiros ou bancários, ativa rotinas de roubo de credenciais e outros dados sensíveis ligados a transações.

Arquitetura modular e multilíngue dificulta detecção

O núcleo do Astaroth permanece escrito em Delphi e o instalador continua a usar scripts em Visual Basic, mas o componente de propagação via WhatsApp foi desenvolvido inteiramente em Python, reforçando a tendência de arquiteturas modulares e multilíngues em campanhas brasileiras. Esse desenho permite que os operadores troquem ou atualizem módulos de forma independente, o que complica a detecção por assinaturas estáticas e exige análises comportamentais mais profundas para identificar o conjunto completo da ameaça.

Engenharia social adaptada ao contexto brasileiro

A campanha também se destaca pelo uso de engenharia social refinada, com mensagens em português que imitam conversas cotidianas no WhatsApp, como “Aqui está o arquivo solicitado. Qualquer dúvida, fico à disposição!”, aumentando a probabilidade de que o destinatário confie no conteúdo. O código é capaz de ajustar automaticamente a saudação com base no horário local da vítima, alternando entre “Bom dia”, “Boa tarde” e “Boa noite”, o que torna os envios ainda mais convincentes e alinhados aos hábitos de comunicação no país.

Monitoramento de métricas e recomendações de proteção

O módulo de propagação também registra métricas de desempenho em tempo real, como número de mensagens enviadas com sucesso, falhas e taxa de envio, além de transmitir subconjuntos da lista de contatos para servidores remotos para análise e otimização da campanha. A Acronis recomenda atenção redobrada ao recebimento de arquivos ZIP não solicitados por apps de mensagem, mesmo quando enviados por contatos conhecidos, e orienta empresas a adotarem estratégias em camadas com EDR/XDR capazes de detectar tanto o comportamento de scripts e PowerShell quanto o abuso de canais legítimos como o WhatsApp Web.