Download do cavalo de Troia Falso do WhatsApp Email Banking

Download do cavalo de Troia Falso do WhatsApp Email Banking 1

ESET, uma empresa líder em detecção proativa de ameaças, alerta sobre um e-mail falso em espanhol que tenta fazer as vítimas em potencial acreditarem que é uma comunicação oficial do WhatsApp que as convida a baixar uma cópia de backup das conversas e do histórico de chamadas no aplicativo de mensagens. O verdadeiro objetivo da comunicação é a distribuição do Trojan bancário Grandoreiro, que rouba credenciais bancárias através de falsas janelas pop-up que fazem a vítima acreditar ser o site oficial do banco, entre outras funcionalidades.

Download do cavalo de Troia Falso do WhatsApp Email Banking 2Legenda da imagem: O Escritório de Segurança da Internet da Espanha (OSI) e a Guarda Civil alertaram sobre uma campanha de phishing na qual é feita uma tentativa de se passar pelo WhatsApp: Correio que está circulando e inclui um arquivo HTML anexado. Fonte: OSI.

No e-mail que se faz passar pelo WhatsApp, a mensagem inclui um anexo chamado “Open_Document_513069.html”. Este é um arquivo HTML que contém um URL encurtado pelo serviço bitly. De acordo com uma análise realizada no laboratório da ESET Latin America do HTML anexado, clicar nele redireciona para um site de onde é feito o download de um arquivo .zip. Esse arquivo compactado contém um instalador MSI que baixa a ameaça, o cavalo de Tróia bancário Grandoreiro. Se o usuário executar o arquivo baixado, o computador provavelmente foi infectado com o malware.

De acordo com a análise detalhada de Grandoreiro publicada pela ESET, é um Trojan bancário escrito em Delphi que compartilha muitas características com outras famílias de Trojan muito ativas na América Latina. Algumas dessas famílias se expandiram para além da América Latina e começaram a direcionar suas campanhas para usuários na Espanha e em outros países europeus. Em 2020, Grandoreiro estava presente principalmente em países como Brasil, Espanha, México e Peru. E logo após a pandemia ser decretada, foram detectados e-mails nos quais o tema COVID-19 era usado para enganar os usuários, assim como campanhas direcionadas à Espanha suplantando a identidade da Agência Tributária.

Depois de infectar o computador da vítima, o principal objetivo deste Trojan é roubar credenciais bancárias por meio de pop-ups falsos que fazem a vítima acreditar que é o site oficial do banco. Além disso, como os outros cavalos de Troia bancários latino-americanos, possui funcionalidades backdoor que permitir que o invasor execute outras ações maliciosas no computador comprometido, como o registro de pressionamentos de tecla (keylogging), simular ações do mouse e do teclado, desconectar a vítima, bloquear o acesso a determinados sites ou mesmo reiniciar o computador, para citar alguns de seus recursos.

De acordo com os dados de telemetria da ESET, os logs dos últimos 90 dias para a mesma variante Grandoreiro detectada nesta campanha que personifica a identidade do WhatsApp mostram a atividade de Trojan principalmente na Espanha, mas também no México e no Brasil. “Isso não significa que a mesma campanha esteja circulando nesses países, mas também não podemos descartar a possibilidade de que essa mesma estratégia de engenharia social não seja utilizada posteriormente em campanhas que visam países latino-americanos, por isso é importante estarmos informados disso. tipo de campanha de phishing para evitar cair na armadilha de receber um e-mail com essas características. “, comenta Camilo Gutiérrez Amaya, Chefe do Laboratório de Segurança de TI da ESET América Latina.

No site do Internet Security Office, eles não descartam que existam outros e-mails em circulação com assuntos diversos. Na verdade, em março deste ano estava circulando na Espanha uma campanha de phishing semelhante em que a identidade do WhatsApp foi falsificada usando a mesma desculpa, e também há registros de uma campanha semelhante em 2020.

Para obter mais detalhes, acesse WeLiveSecurity, portal de notícias da ESET: https://www.welivesecurity.com/la-es/2021/09/28/phishing-copia-seguridad-whatsapp-descarga-troyano-grandoreiro/

Por outro lado, ESET convida você a conhecer Conexão segura, o seu podcast para descobrir o que está acontecendo no mundo da segurança de computadores. Para ouvir, vá para:

https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw?go=1& utm_source = embed_v3 & t =5& nd =1