Malware via Whatsapp que monitora bancos e criptomoedas já tentou 62 mil infecções no Brasil
Arquivo zip pelo Whatsapp instala malware que captura telas e registra tudo o que é digitado.
Uma sofisticada campanha de ciberataques em curso no Brasil vem chamando a atenção de empresas de segurança em todo o mundo. Pesquisadores da Kaspersky, da Sophos e da Counter Threat Unit™ (CTU) detectaram uma onda de infecções envolvendo o Maverick, um novo trojan bancário voltado a instituições financeiras e corretoras de criptomoedas brasileiras. Desde o fim de setembro, mais de 62 mil tentativas de infecção foram bloqueadas apenas em outubro, segundo dados da Kaspersky.
As investigações indicam que a campanha, iniciada em 29 de setembro de 2025, usa o WhatsApp como principal vetor de disseminação. O golpe começa com o envio de um arquivo compactado (.zip) por meio de uma mensagem que parece legítima, geralmente vinda de um contato conhecido cuja conta já foi comprometida. A mensagem, que afirma que o conteúdo só pode ser aberto em um computador, induz o usuário a executar um arquivo de atalho (.LNK) malicioso — o primeiro passo para a infecção.
Ao ser aberto, o arquivo inicia uma cadeia de comandos PowerShell ofuscados, baixados de servidores de comando e controle (C2) hospedados em domínios como zapgrande[.]com. Essa sequência desativa recursos de segurança locais — como o Microsoft Defender e o Controle de Conta de Usuário (UAC) — e carrega o código malicioso inteiramente na memória do computador, dificultando a detecção por antivírus tradicionais.
De acordo com a Sophos, mais de 1.000 endpoints em 400 redes corporativas já registraram atividade associada a essa campanha. Foram observados diversos nomes de arquivos usados para enganar as vítimas, como ORCAMENTO_XXXX.zip ou COMPROVANTE_20251002_XXXX.zip. Além do Maverick, alguns ataques também entregaram o Selenium, ferramenta legítima de automação de navegadores que pode ser usada para controlar sessões web ativas — incluindo o WhatsApp Web, facilitando a autopropagação da ameaça.
Uma vez instalado, o Maverick monitora o acesso a 26 bancos e seis corretoras de criptomoedas e pode capturar telas, registrar o que é digitado e até tomar controle total do dispositivo. A infecção também permite que o malware envie automaticamente novas mensagens fraudulentas via WhatsApp Web, transformando-se em um verme digital com alto potencial de disseminação.
Os pesquisadores das três empresas identificaram fortes semelhanças entre o Maverick e o trojan Coyote, que também teve origem no Brasil e foi analisado pela Kaspersky em 2024. Ambos utilizam o mesmo mecanismo de criptografia (AES-256) para ocultar as instituições financeiras visadas e compartilham estruturas de código e técnicas de evasão.
É importante desconfiar de arquivos compactados (.zip) recebidos pelo WhatsApp, mesmo de contatos conhecidos e não abrir arquivos de atalho (.LNK) enviados por fontes desconhecidas.
