Water Saci: vírus para WhatsApp evolui com automação e ameaça dados bancários no Brasil

Water Saci, identificado por pesquisadores de segurança como um dos malwares mais ativos contra usuários de WhatsApp Web no Brasil, ganhou um novo método de atuação que combina phishing, automação avançada e técnicas de inteligência artificial para roubo de dados bancários. O alerta foi emitido em 08/12/2025 após análise detalhada do código pelos laboratórios da Trend Micro.

Water Saci: entenda a nova onda de ataques ao WhatsApp Web

O fato principal envolve a descoberta de uma versão remodelada do Water Saci, agente malicioso reportado inicialmente em campanhas anteriores, mas agora dotado de recursos que ampliam o alcance das infecções. O alvo continua sendo o público brasileiro que utiliza o WhatsApp em navegadores de desktop, onde o malware intercepta sessões, distribui arquivos perigosos e vasculha sistemas em busca de credenciais financeiras.

Segundo o relatório técnico, o ciclo de ataque ocorre em múltiplas camadas. Ele começa com mensagens aparentemente legítimas, enviadas a partir de contatos reais da vítima, que contêm arquivos ou links. No topo desse processo está a intenção de capturar informações bancárias associadas às principais instituições financeiras do país.

Como o Water Saci inicia a infecção em computadores

O vetor de entrada é o phishing clássico: a vítima recebe um anexo ou link que transmite senso de urgência — passo fundamental para induzir o clique. Três formatos de arquivo foram mapeados pelos analistas:

.ZIP: arquivos comprimidos que, quando extraídos, liberam executáveis maliciosos; é um dos métodos mais antigos ainda em circulação.

.PDF: documentos que simulam contratos ou faturas. Ao serem abertos, solicitam “atualização” de software; a atualização, na verdade, instala o malware.

.HTA: páginas de aplicação HTML capazes de executar código automaticamente no instante em que são abertas, reduzindo etapas e elevando a taxa de sucesso dos invasores.

Independentemente do formato, ao ser ativado no sistema, o arquivo faz com que a máquina da vítima se conecte a um servidor remoto controlado pelos criminosos. Nessa comunicação inicial, são baixados dois componentes centrais: um instalador MSI, que embute o trojan bancário, e um script em Python responsável pela varredura de indicadores financeiros presentes no computador.

Métodos de evasão e coleta de dados bancários

Logo após a instalação, o Water Saci executa rotinas de persistência. Isso envolve desabilitar antivírus, alterar chaves de registro do Windows e copiar históricos de navegação. A meta é permanecer invisível enquanto monitora a interação do usuário com páginas de bancos.

O script em Python realiza buscas por pastas, arquivos e extensões tipicamente instalados por módulos de segurança das instituições financeiras brasileiras. Esses rastros indicam qual banco é utilizado, permitindo que o trojan aplique táticas específicas para cada plataforma, como captura de senhas, interceptação de tokens de autenticação e abertura de sessões fraudulentas sempre que a vítima acessa a área de internet banking.

Durante todo o processo, o malware também habilita funções de monitoramento em tempo real, capazes de registrar pressionar de teclas, copiar arquivos pessoais e até mesmo acompanhar transações com o objetivo de desviar valores ou alterar destinatários.

Automatização do envio de malware via WhatsApp

Paralelamente à espionagem bancária, o agente malicioso aciona um segundo script, denominado whatsz.py, responsável por automatizar a disseminação do ataque. Desenvolvido em Python e apoiado pela biblioteca Selenium, o script abre instâncias do WhatsApp Web, acessa a lista de contatos e encaminha novos anexos contaminados sem qualquer intervenção humana.

A análise da Trend Micro indicou que a construção desse script foi otimizada com ajuda de grandes modelos de linguagem (LLMs), como Gemini e ChatGPT. Os desenvolvedores empregaram esses recursos para refinar funções de mensagem, criar rotinas de detecção de estado e implementar classes específicas de gerenciamento de sessão. O resultado é um mecanismo capaz de reproduzir a infecção em cadeia, multiplicando o número de vítimas em poucos minutos.

Instituições financeiras visadas pelo Water Saci

O levantamento técnico listou dez bancos brasileiros cujos módulos de segurança são procurados logo que o malware se instala. São eles:

Banco do Brasil, BMG, Bradesco, BS2, BTG Pactual, Caixa Econômica Federal, Itaú, Santander, Sicoob e Sicredi. Ao detectar artefatos relativos a qualquer uma dessas instituições, o Water Saci inicia rotinas adequadas para capturar dados de login, número de agência, conta, senhas e códigos de autenticação de dois fatores.

Essa capacidade direcionada eleva o risco financeiro, pois permite ataques personalizados. Além do roubo direto, existe a possibilidade de modificações não autorizadas em transações, além da exclusão ou sequestro de arquivos pessoais como forma adicional de extorsão.

Medidas imediatas de prevenção contra o vírus Water Saci

O relatório conclui com recomendações práticas para usuários domésticos e corporativos. Todas elas procuram romper a corrente de infecção em seus pontos mais vulneráveis:

Desativar downloads automáticos no WhatsApp: impede que arquivos sejam salvos sem aprovação explícita do usuário.

Controlar transferências de arquivos em dispositivos corporativos: limitar o uso de aplicativos de troca de mensagens em máquinas da empresa reduz a superfície de ataque.

Treinar colaboradores: campanhas educativas mostram como identificar anexos suspeitos mesmo quando enviados por contatos confiáveis.

Adotar plataformas oficiais para documentos: canais aprovados e com criptografia conferem maior rastreabilidade e controle.

Refinar políticas de e-mail e filtragem de conteúdo: bloqueios de domínios maliciosos diminuem o risco de phishing cruzado entre diferentes plataformas.

Exigir autenticação multifator (MFA): códigos adicionais tornam a invasão de serviços em nuvem, contas bancárias e sistemas SaaS consideravelmente mais difícil.

A última atualização sobre o Water Saci foi divulgada em 08/12/2025, data em que os analistas confirmaram o uso de inteligência artificial na automação dos ataques e ressaltaram a importância de medidas preventivas imediatas.