Pesquisadores identificaram uma nova campanha de malware que utiliza o WhatsApp Web para distribuir trojans bancários direcionados a instituições financeiras e exchanges de criptomoedas no Brasil. O ataque começou em 29 de setembro de 2025 e já comprometeu mais de 400 ambientes e 1.000 endpoints.
Leia também
Pesquisa revela falhas exploráveis no ecossistema Gemini do Google
Falha em todas as versões do Redis dos últimos 13 anos
UM treinamento inicia quando a vítima recebe um arquivo ZIP malicioso de um contato comprometido. A mensagem afirma que o conteúdo só pode ser visualizado em um computador, ou que induz o usuário a baixar e executar o arquivo em um ambiente desktop. Dentro do ZIP há um arquivo LNK que aciona um comando PowerShell ofuscado, responsável por baixar novos projetos de ataque a partir de domínios controlados pelos invasores, como zapgrande(.)com, usuário expansivo(.)com e sorvetenopote(.)com.
O código malicioso modifica configurações de segurança do Windows, incluindo exclusões no Microsoft Defender e desativação do UAC, criando um ambiente permissivo para execução sem alertas. A campanha entrega dois payloads principais: um pacote Selenium com ChromeDriver, usado para automatizar sessões do WhatsApp Web e permitir a autopropagação, e o trojan bancário Maverick, que monitora o tráfego do navegador em busca de conexões com bancos e exchanges brasileiras para roubo de credenciais.
Devido à capacidade de se mover automaticamente e executar ações sem interação do usuário, o worm representa um risco elevado. A recomendação é evitar a abertura de anexos ZIP enviados pelo WhatsApp, restringir o uso do PowerShell e verificar os registros de segurança em busca de execuções codificadas.
