Pesquisadores da Acronis identificaram uma nova e mais agressiva fase do malware bancário Astaroth. A campanha, apelidada de “Boto Cor-de-Rosa”, usa o WhatsApp Web como motor de propagação, transformando a conta da própria vítima em uma máquina de envio automático de golpes.
O alvo é quase exclusivo: o Brasil. Os criminosos exploram algo que todo brasileiro faz sem pensar duas vezes — resolver tudo pelo WhatsApp — e usam isso para espalhar o malware fingindo ser amigos, familiares ou colegas de trabalho.
Como a infecção acontece
O ataque começa de forma banal. A vítima recebe um arquivo ZIP pelo WhatsApp. Pode parecer algo enviado por alguém conhecido, mas ao abrir e extrair o conteúdo, um script entra em ação e baixa dois componentes principais no computador.
O primeiro é um módulo de propagação, escrito em Python. Ele acessa a lista de contatos do WhatsApp Web e envia automaticamente o mesmo arquivo malicioso para todos, sem que a pessoa perceba.
O segundo é o módulo bancário, desenvolvido em Delphi. Ele roda em segundo plano, monitorando a navegação da vítima e capturando credenciais bancárias quando o usuário acessa sites de bancos ou serviços financeiros.
Para aumentar a taxa de sucesso, o malware usa mensagens automáticas personalizadas pelo horário, como “Bom dia” ou “Boa tarde”, e textos com tom informal, do tipo “Aqui está o arquivo que você pediu, qualquer coisa me avisa”. Isso reduz a desconfiança e faz o golpe parecer legítimo.
Um malware que se adapta em tempo real
A campanha Boto Cor-de-Rosa vai além do básico. O malware monitora em tempo real quantas mensagens foram entregues com sucesso e envia essas estatísticas para servidores dos criminosos. Isso permite ajustar a campanha enquanto ela está acontecendo.
A estrutura também é modular e multilíngue, o que dificulta a detecção por antivírus tradicionais e permite que os operadores mudem partes do ataque sem precisar redistribuir o malware inteiro.
Na prática, cada computador infectado vira um pequeno “call center” de golpes, disparando arquivos maliciosos para dezenas ou centenas de pessoas.
Por que o Brasil é o alvo perfeito
O WhatsApp é praticamente a infraestrutura informal do país. Pessoas usam o app para trabalho, banco, escola, família e tudo mais. Isso cria um ambiente ideal para engenharia social: quando um arquivo chega de alguém conhecido, a chance de abrir é muito maior.
Os operadores do Astaroth sabem disso e desenharam o ataque para parecer o mais humano possível, mesmo sendo totalmente automatizado.
Como se proteger
A Acronis é direta: desconfie de qualquer arquivo recebido pelo WhatsApp, mesmo que venha de alguém próximo. Se você não pediu nada, não abra.
Também é essencial usar soluções de segurança em camadas, capazes de detectar não só vírus, mas também ataques baseados em comportamento e engenharia social.
No mundo do cibercrime moderno, o golpe não tenta mais parecer um hacker. Ele tenta parecer seu amigo.
