Como a IA pode ter sido usada em ataque no WhatsApp que engana antivírus e rouba senhas de bancos

Ataque no WhatsApp pode roubar senhas de usuários; veja como se proteger
A inteligência artificial pode ser usada para aplicar ataques cibernéticos e ajudar hackers a roubar senhas de bancos. Foi o que demonstraram pesquisadores de segurança na análise de uma nova versão de um vírus que se espalha pelo WhatsApp Web.
Hackers atualizaram o ataque com foco em usuários no Brasil que foi chamado de Sorvepotel. Ele tinha sido descoberto em outubro por especialistas da empresa de cibersegurança Trend Micro.
Como na primeira versão, o novo vírus também exibe versões adulteradas de sites de bancos e assume o controle do WhatsApp Web para enviar o mesmo arquivo malicioso para contatos de vítimas.
Mas agora ele é baseado em outra linguagem de programação, migrando do padrão em PowerShell para Python.
📱 Baixe o app do g1 para ver notícias em tempo real e de graça
Como o WhatsApp Web virou porta de entrada para ataque hacker com foco no Brasil
“Há fortes indícios circunstanciais de que um auxílio automatizado, como um modelo de linguagem abrangente (LLM) ou uma ferramenta de tradução de código, pode ter sido usado para acelerar o processo de portabilidade”, disse a Trend Micro.
Os indícios de que o novo vírus foi gerado por IA incluem melhorias na estrutura e na aparência do código, que usa até mesmo emojis, e a velocidade de desenvolvimento, dada sua semelhança com o vírus original.
Ataque conhecido como Sorvepotel assume o controle do WhatsApp Web para enviar vírus para contatos da vítima
Reprodução/Trend Micro
Os criminosos usam o WhatsApp para disparar supostos comprovantes de pagamento ou orçamentos de empresas, por exemplo. “Tenta abrir no computador”, diz uma das mensagens.
Para a vítima, além de ter suas senhas roubadas, há o risco de ter a conta banida no WhatsApp. Isso porque a plataforma pode considerar o envio repetido de mensagens como spam, uma prática não recomendada.
Segundo os pesquisadores, a nova versão é compatível com mais navegadores e pode entregar mensagens mais rapidamente.
“Esta nova onda apresenta técnicas mais avançadas de infecção, persistência e evasão, evidenciando como plataformas legítimas estão sendo cada vez mais exploradas para atingir alvos brasileiros de forma mais eficaz”, explicaram os pesquisadores.
Entenda como o ataque hacker acontece, segundo a Trend Micro:
Cibercriminosos abordam vítimas com arquivos que se passam por documentos verdadeiros, como orçamentos, mas que incluem apenas conteúdo malicioso, que costumam estar nos formatos ZIP, PDF ou HTA;
Vítimas baixam os arquivos e são levadas a executá-los, criando uma conexão entre suas máquinas e a central de comando dos autores do ataque;
A central dos hackers força o download de um arquivo de instalação que, quando é executado, infecta o dispositivo com o vírus bancário;
O vírus busca informações sobre a máquina, incluindo o idioma do sistema operacional, que indica se a vítima é brasileira, e registros que mostrem atividades bancárias e o uso de antivírus;
Após obter informações, o vírus começa a agir, ao acionar comandos que criam páginas falsas de banco, capturar senhas digitadas com o teclado e fazer capturas de tela, por exemplo.
O vírus busca pastas com nomes de bancos e dados no histórico de navegação que mostrem o acesso a sites de instituições bancárias, diz a Trend Micro.
“No Brasil, o acesso à maioria dos grandes bancos exige módulos de segurança desenvolvidos por empresas independentes”, afirmam os pesquisadores. “Os atacantes sabem disso e usam essa exigência como um método confiável para identificar o banco principal da vítima”.
Menores de 16 anos terão que vincular suas redes sociais com as de seus pais; entenda regra
‘Vejo você em 4 anos’: adolescentes na Austrália se despedem das redes antes de proibição
Hackers tomam controle do computador
Capaz de transformar a máquina em um “zumbi”, a tática se aproveita da distração das vítimas e não envolve uma falha no WhatsApp, afirmou o líder técnico da Trend Micro Brasil, Marcelo Sanches, em entrevista ao g1 em outubro.
“É aberta uma porta de comunicação e, a partir disso, o sistema de ataque passa a receber instruções, podendo se atualizar ou receber comandos externos. A máquina da vítima fica sob comando do atacante”.
A investigação de outubro apontou que o Sorvepotel afetou “mais organizações governamentais e de serviços públicos, mas também vitimou organizações de indústria, tecnologia, educação e construção”.
“Nesse momento, esse ataque é orientado a vítimas no Brasil. Tanto é que na execução do malware, ele faz algumas checagens de idiomas, localização, formato da data para validar se aquilo tem relação com um usuário brasileiro”.
Como se proteger
Os pesquisadores afirmam que criminosos parecem ter como foco computadores corporativos, mas atacam em contas de WhatsApp Web de funcionários, que usam os dispositivos do trabalho para ver mensagens pessoais.
Os pesquisadores da Trend Micro orientam usuários e empresas a:
desativar downloads automáticos no WhatsApp;
restringir downloads em dispositivos corporativos;
realizar treinamentos sobre riscos de baixar arquivos suspeitos;
desconfiar de mensagens que pedem permissões em navegadores;
confirmar com a pessoa por outros meios (telefone ou pessoalmente) se o envio do arquivo foi intencional.
WhatsApp
REUTERS/Thomas White