Vírus bancário Astaroth transforma o WhatsApp Web em vetor de ataque e roubo de credenciais no Brasil

Vírus bancário Astaroth, em nova campanha batizada de Boto Cor-de-Rosa, foi identificado pela Acronis como responsável por transformar o WhatsApp Web em canal de infecção que combina engenharia social refinada e arquitetura técnica sofisticada para roubar credenciais bancárias e multiplicar o golpe em território brasileiro.

Como o vírus bancário chega até a vítima

O ponto de partida da ofensiva é uma mensagem aparentemente inofensiva que aporta na conta do usuário dentro do WhatsApp Web. O texto chega de um contato real, alguém registrado na lista pessoal de conversas da vítima, e contém um arquivo ZIP. A presença de um remetente familiar, aliada à rotina de trocas de documentos na plataforma, reduz a desconfiança e aumenta a probabilidade de que o destinatário abra o anexo sem verificar sua legitimidade.

Assim que o arquivo é descompactado no navegador, um script em Visual Basic Script (VBS) inicia a execução automática no computador. Esse script, camuflado como arquivo legítimo, dispara a primeira etapa da infecção. A operação inicial tem a única função de preparar o ambiente para que os componentes principais do Astaroth sejam baixados e executados em segundo plano, sem acionar alertas visíveis ao usuário.

Engenharia social: confiança explorada pelo vírus bancário

A campanha Boto Cor-de-Rosa investe na personalização das mensagens para reforçar a eficácia do engano. Textos breves como “Aqui está o arquivo solicitado. Qualquer dúvida, fico à disposição!” são adaptados automaticamente ao horário local do destinatário, utilizando saudações de “Bom dia”, “Boa tarde” ou “Boa noite”. O tom semi-formal mira usuários que tratam de trabalho ou estudos na plataforma, segmento em que o envio de arquivos é cotidiano.

Ao evitar links encurtados ou anexos de remetentes desconhecidos, o golpe contorna defesas psicológicas tradicionais. O plano de disseminação foca no elo de confiança existente entre amigos, colegas ou familiares para naturalizar o compartilhamento do ZIP contaminado. Essa camuflagem social é o primeiro obstáculo para ferramentas de segurança e fator central no sucesso inicial do ataque.

Arquitetura técnica do vírus bancário: módulos distintos para roubo e propagação

Depois que o VBS estabelece presença no computador, ele baixa dois componentes principais, cada um desenvolvido em linguagem diferente:

Módulo bancário – Parte escrita em Delphi, responsável por capturar credenciais de sites financeiros. Esse bloco monitora permanentemente a navegação do usuário e só ativa mecanismos de roubo quando detecta acesso a portais bancários, estratégia que mantém o malware invisível durante atividades comuns.

Módulo de propagação – Construído em Python, concentra-se em coletar a lista de contatos do WhatsApp e replicar o arquivo malicioso. Sua missão é transformar cada máquina comprometida em novo distribuidor da campanha, sem qualquer ação adicional do usuário.

A separação de funções, além de dificultar a análise de código, aumenta a complexidade de detecção. Diferentes linguagens e processos independentes confundem assinaturas tradicionais de antivírus, prolongando o tempo em que o Astaroth opera sem ser contido.

Automação do contágio no WhatsApp Web

O motor de disseminação percorre de forma automática a agenda do WhatsApp coletada no computador infectado. Para cada contato identificado, replica a mensagem original junto com o mesmo arquivo ZIP. Todo o ciclo — seleção de destinatário, redação da mensagem, definição da saudação de acordo com o horário e envio — ocorre em segundo plano. Com isso, a interação humana deixa de ser pré-requisito para expandir o golpe.

Esse comportamento transforma cada novo contaminado em multiplicador. A taxa de crescimento torna-se exponencial, pois a lista de contatos de um usuário raramente coincide integralmente com a de outro. Dessa maneira, o malware alcança redes sociais diversas e potencializa a chance de atingir alvos que possuam contas bancárias acessadas no mesmo equipamento.

Coleta de credenciais e monitoramento invisível

Enquanto o módulo de propagação executa o ciclo de contágio, o componente bancário permanece ocioso até detectar tráfego destinado a instituições financeiras. No momento em que identifica a URL de um site bancário, o Astaroth ativa rutinas de captura de dados que podem envolver interceptação de campos de formulário, gravação de teclas ou exfiltração de cookies de sessão. Todas essas ações ocorrem sem alterar visivelmente a janela do navegador, reduzindo sinais de alerta para o usuário.

Além do furto de credenciais, a campanha Boto Cor-de-Rosa incorpora um sistema de telemetria interna. O malware contabiliza métricas como volume de mensagens enviadas, erros de entrega e porcentagem de contatos convertidos em novos infectados. Esses relatórios são transmitidos a servidores remotos administrados pelos cibercriminosos, permitindo o ajuste rápido de estratégias e o refinamento do código em tempo real.

Ferramentas de defesa e importância do comportamento do usuário

De acordo com a Acronis, a variante do Astaroth utilizada nesta ofensiva já se encontra mapeada por soluções de EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response). Enquanto os antivírus tradicionais se concentram em bloquear a entrada inicial do executável, EDR/XDR trabalham sob a premissa de que invasões podem ocorrer e, portanto, dedicam-se a detectar atividades suspeitas dentro do sistema, isolar processos maliciosos e impedir a movimentação lateral antes que o dano se concretize.

Apesar da eficácia dessas camadas avançadas, especialistas ressaltam que o primeiro nível de proteção continua a residir no usuário. Arquivos não solicitados, sobretudo compactados em ZIP, devem ser verificados, mesmo quando enviados por contatos confiáveis. A abertura apressada de anexos é o ponto de falha que viabiliza todo o restante da operação descrita.

O caso Boto Cor-de-Rosa reforça a necessidade de adoção de práticas simples, como desconfiar de qualquer material inesperado, confirmar por outro canal se o remetente realmente enviou o arquivo e manter sistemas de proteção atualizados. A combinação de tecnologia robusta e vigilância comportamental funciona como estratégia em camadas recomendada pela Acronis para mitigar ataques que aliam recursos técnicos sofisticados a engenharia social persuasiva.

Segundo os dados coletados pela empresa de cibersegurança, a detecção proativa do Astaroth já está em operação nas ferramentas EDR/XDR distribuídas comercialmente, cobrindo a variante que circula no Brasil.