ComprovanteSpray: golpe no WhatsApp rouba dados bancários e contorna antivírus

Um novo golpe que rouba credenciais bancárias e dados financeiros circula no WhatsApp recentemente, apurou o time de Inteligência de Ameaças (Heimdall) da empresa ISH Tecnologia. O ataque foi batizado como “ComprovanteSpray” e pode extrair informações sensíveis do usuário de forma invisível.

No relatório, a ISH Tecnologia destaca que o ComprovanteSpray “representa um risco significativo” aos usuários devido à capacidade de propagação via WhatsApp. O ataque adota o método execução sem arquivo, também conhecido como “fileless”, em que o código malicioso é carregado automaticamente na memória, sem deixar rastros nos arquivos do computador e quase imperceptível para antivírus tradicionais.

O golpe consiste no envio de um arquivo malicioso para a vítima. Basicamente, um contato (conhecido ou desconhecido) envia um arquivo ZIP para o alvo, geralmente alegando se tratar de um comprovante bancário pendente. Se convencido, o destinatário baixa o arquivo e, no momento que da extração do conteúdo no PC, um código é executado no PowerShell, ferramenta de automação de tarefas do Windows. O envio malicioso geralmente se passa de um comprovante pendente de bancos conhecidos, como Itaú e Bradesco.

A campanha mira em vários segmentos de mercado, conforme apurou a ISH. O setor financeiro (bancos e fintechs), varejistas, setor corporativo e usuários finais estão na lista de possíveis vítimas.

Segundo a ISH, o ataque ComprovanteSpray extrai os dados:

• Preferências de idioma;
• Histórico de navegação;
• Permissões concedidas a sites;
• Dados bancários (dados de cartões e Pix);
• Dados de preenchimento automático de navegadores;
• Informações de carteiras de criptomoedas;
• Detalhes do navegador (versão, extensões e mais);
• Cookies de sessão;
• Identificadores de contas Google.

Os dados então são enviados para um servidor hospedado na Cloudflare, assim dificultando a identificação e o bloqueio de tráfego malicioso. De acordo com o ISH, a ameaça “demonstra um alto grau de automação e evasão”. Portanto, é necessário aplicar estratégias de monitoramento avançadas e ações de mitigação proativas para evitar a disseminação do ataque.

Como evitar ser alvo do ComprovanteSpray no WhatsApp?

As recomendações para evitar ser vítima do ComprovanteSpray são bem básicas: sempre desconfie de anexos recebidos por mensagem, independente da fonte. O ideal é sempre verificar a autoria do envio por outro meio, como ligação, videochamada ou pessoalmente.

Além disso, verifique se a política de comunicação do seu banco inclui o disparo de mensagens automáticas por mensageiros. Geralmente, bancos utilizam apenas meios oficiais integrados a aplicativos ou serviços online para entrar em contato com correntistas, então comprovantes, extratos, cobranças e outros avisos não chegarão em caixas de entrada do WhatsApp ou SMS.

Outro detalhe é a extensão do arquivo. Se o documento é um suposto aviso de comprovante bancário pendente, é pouquíssimo provável que ele venha em um arquivo compactado. Esses documentos são geralmente disponibilizados via PDF — contudo, isso também não atesta sua legitimidade.

Fontes: ISH Tecnologia