Um novo vírus tem se espalhado rapidamente pelo WhatsApp Web no Brasil desde setembro, comprometendo dados sensíveis de clientes de mais de duas dezenas de bancos e corretoras de criptomoedas. Batizado de “maverick”, o malware foi identificado por empresas de cibersegurança como Kaspersky, Sophos e Trend Micro e já gerou mais de 200 mil envios de arquivos maliciosos, segundo dados da Solo Iron.
O ataque começa com o envio de um arquivo compactado no formato “.zip” que, ao ser aberto, contém um atalho “.lnk”. A execução desse arquivo libera o código malicioso, que assume o controle do navegador e passa a acessar o WhatsApp Web da vítima. A partir daí, o vírus envia automaticamente o mesmo arquivo para todos os contatos do usuário, facilitando a propagação da ameaça.
Escrito em português brasileiro, o malware contém instruções específicas para funcionar apenas em computadores com teclado que possua a tecla “ç” e configuração de data no formato brasileiro, o que confirma seu foco em alvos nacionais. A mensagem fraudulenta enviada pelos criminosos traz um alerta falso: “Visualização permitida somente em computadores”, incentivando o download do arquivo.
Uma vez instalado, o “maverick” monitora a máquina toda vez que ela é ligada e, ao detectar o acesso a sites bancários, congela a tela e exibe uma mensagem falsa de segurança. O objetivo é induzir a vítima a fornecer suas credenciais, como senhas e dados de autenticação, sem que seja necessário vasculhar o computador. A captura das informações ocorre por meio de servidores externos, sem deixar vestígios locais.
Para enganar o sistema do WhatsApp, o vírus utiliza a ferramenta de automação de navegadores Selenium, o que faz o aplicativo interpretar que o acesso é legítimo. Além disso, os criminosos utilizam ferramentas automatizadas para gerar nomes de arquivos e um painel com métricas detalhadas de distribuição e taxa de sucesso dos ataques, o que, segundo especialistas, demonstra um alto nível de profissionalização da operação.
Segundo as empresas de segurança, o “maverick” compartilha parte do código com o vírus “coyote”, descoberto em 2024, sugerindo que ambos foram criados pela mesma quadrilha ou por grupos relacionados. Diferentemente do novo malware, o “coyote” tinha alcance internacional e atacava instituições financeiras em diversos países.
A Meta, empresa controladora do WhatsApp, afirmou que trabalha para tornar a plataforma mais segura e que conta com camadas de proteção adicionais, como alertas sobre contatos desconhecidos e criptografia de ponta a ponta. Já a Febraban destacou que os bancos brasileiros possuem sistemas de segurança robustos, com uso de autenticação biométrica, tokenização, big data e inteligência artificial para monitoramento e prevenção de riscos.
Usuários infectados devem apagar imediatamente os arquivos baixados e buscar ferramentas de segurança atualizadas, já que o vírus continua ativo e em expansão.