Como a IA tem sido utilizada em ataques no WhatsApp
Recentemente, a empresa de segurança Trend Micro revelou que hackers estão utilizando inteligência artificial (IA) para aprimorar um ataque cibernético conhecido como Sorvepotel. Este golpe, focado em usuários brasileiros, cria versões fraudulentas de sites de bancos e assume o controle do WhatsApp Web das vítimas.
O ataque, que foi identificado por especialistas em outubro, agora apresenta uma nova estrutura, migrando da linguagem de programação PowerShell para Python. Essa mudança, juntamente com melhorias na aparência e na velocidade de desenvolvimento do código, levantou suspeitas de que IA pode ter sido utilizada no processo de atualização do vírus.
Pesquisadores de segurança destacam que é possível usar a inteligência artificial para facilitar ataques, tornando-os mais eficazes. Os novos indícios sobre o Sorvepotel incluem uma apresentação mais atrativa do código e a utilização de emojis, algo inédito em versões anteriores.
Os criminosos se valem de mensagens enviadas pelo WhatsApp, que aparentam ser comprovantes de pagamento ou orçamentos, para enganar as vítimas. Quando o arquivo malicioso é aberto, ele pode roubar senhas e também acarretar consequências severas, como a possibilidade de a conta do WhatsApp ser banida, caso o envio de mensagens seja considerado spam.
De acordo com os pesquisadores, a nova versão do vírus tem maior compatibilidade com navegadores e promete uma entrega mais rápida de mensagens, além de introduzir técnicas de infecção e evasão mais sofisticadas. A Trend Micro enfatiza que plataformas legítimas estão sendo cada vez mais exploradas para atacar alvos no Brasil.
Processo do ataque preciso
O funcionamento do ataque cibernético pode ser dividido em várias etapas:
- Os cibercriminosos enviam arquivos que se disfarçam como documentos legítimos, como orçamentos, mas que contêm códigos maliciosos em formatos como ZIP, PDF ou HTA;
- Quando as vítimas baixam esses arquivos, são levadas a executá-los, estabelecendo uma conexão entre suas máquinas e o comando dos hackers;
- A partir daí, o sistema do atacante força o download de um arquivo que, ao ser executado, infecta o dispositivo com o vírus bancário;
- O malware recolhe informações do dispositivo, como o idioma do sistema operacional, ajudando a identificar se a vítima é brasileira, e verifica os registros de atividades bancárias e o uso de antivírus;
- Assim que as informações são coletadas, o vírus passa a agir, criando páginas falsas dos bancos, capturando senhas digitadas e fazendo capturas de tela, por exemplo. O malware é programado para buscar pastas com nomes de bancos e o histórico de navegação na Internet.
No Brasil, muitos grandes bancos exigem módulos de segurança de empresas independentes, o que os hackers utilizam como um método para identificar a instituição financeira da vítima.
A tática dos atacantes transforma o dispositivo em um zumbi, aproveitando-se da distração das vítimas. O ataque não envolve falhas no WhatsApp, mas faz uso de uma porta de comunicação aberta entre a máquina da vítima e a dos hackers, permitindo uma atualização contínua do vírus e o recebimento de novas instruções.
Em investigações anteriores, o Sorvepotel mostrou-se mais eficaz em atingir organizações governamentais, empresas de serviços públicos, além de setores como indústria, tecnologia, educação e construção, mas atualmente está direcionado a indivíduos no Brasil.
Dicas de proteção
Os pesquisadores da Trend Micro alertam que os criminosos alvo especificamente computadores corporativos, atacando funcionários que podem utilizar dispositivos de trabalho para acessar suas contas pessoais do WhatsApp. Para se proteger, recomenda-se:
- Desativar downloads automáticos no WhatsApp;
- Restringir downloads em dispositivos corporativos;
- Promover treinamentos sobre os riscos de baixar arquivos suspeitos;
- Desconfiar de mensagens que solicitam permissões em navegadores;
- Confirmar com a pessoa que supostamente enviou o arquivo, utilizando outros meios de comunicação, como telefone ou encontros pessoais.
