Pesquisadores da Trend Micro reportaram uma nova ameaça para os usuários de WhatsApp Web no Brasil, que funciona em navegadores para PC. O caso em questão se trata do agente malicioso anteriormente batizado de Water Saci (Saci D’água), que modificou seus métodos de ataque para uma abordagem ainda mais sofisticada e perigosa.A infecção passa por etapas simples, e possui o desconhecimento ou ingenuidade do usuário como ponto de falha inicial. Adiante, com o sistema operacional já comprometido pelo vírus, os criminosos fazem uma busca complexa por dados financeiros e bancários, até finalmente roubá-los.Em paralelo, um código toma controle do WhatsApp da vítima, e envia mensagens com links e arquivos infectados para todos seus contatos – sem exigir qualquer comando dos criminosos. Todo o processo é baseado em camadas e conta com apoio de inteligência artificial.Water Saci se esconde no PC de vítimas em busca de dados bancáriosAs primeiras etapas da infecção no novo método do Water Saci não inovam, e seguem a tradição de enganar o usuário por meio do phishing. Derivado do inglês, o termo refere-se a “pescaria” de vítimas, em que as iscas são mensagens fraudulentas que evocam sensação de urgência ou perigo. Uma vez “fisgadas”, elas são induzidas a enviar dados pessoais, dados bancários, realizar pagamentos ou interagir com arquivos maliciosos – permitindo ataques mais sofisticados, por consequência.Neste caso, justamente, o objetivo é um dos piores cenários: a infecção. As vítimas em potencial recebem mensagens enganosas de contatos confiáveis ou verificados no WhatsApp, solicitando que abram um arquivo criminoso. O relatório da Trend Micro destaca os formatos utilizados, que também modificam as consequências do ataque.Em certo formato, o usuário pode descompactar um malware após receber um arquivo .ZIP – uma abordagem bastante tradicional entre criminosos. No entanto, o relatório revela que algumas vítimas receberam arquivos PDFs que, quando inicializados, solicitavam uma atualização falsa. Sem surpresas, assim que a nova versão é instalada, uma brecha perigosa é aberta no sistema.Contudo, o destaque fica para as vítimas que receberam arquivos .HTA, que executam automaticamente um código malicioso quando abertos. Mais moderno, esse processo simplifica a abordagem dos criminosos, que passam por menos etapas até comprometer o dispositivo-alvo. Uma vez invadidos, o sistema se conecta a um servidor remoto dos atacantes, e baixa alguns arquivos de apoio. Entre eles, está um instalador de programa para Windows (MSI) e um script na linguagem de programação Python.Enquanto o instalador MSI é o portador do Trojan Bancário, o script faz uma varredura no sistema em busca de atividades financeiras. Como é de costume no Brasil, os bancos usam extensões e módulos de segurança para funcionar, que deixam arquivos e pastas no computador. Justamente, esses rastros são coletados pelo código, ajudando os criminosos a identificar qual é a instituição financeira utilizada pelo cliente.Esses são os bancos visados pelos criminosos: Banco do Brasil BMG Bradesco BS2 BTG Pactual CEF Itaú Santander Sicoob SicrediAs informações, então, são catalogadas e dão início a um complexo processo de infiltração e ofuscação no sistema. Nesta etapa, antivírus são desarmados, históricos de navegador são copiados, e processos do Windows modificados. Ao fim do processo, o malware passa a ser iniciado e reiniciado todas às vezes em que a vítima abre uma janela ligada ao seu banco.Adiante, os criminosos podem coletar senhas e outras informações que garantem acesso aos serviços bancários. Além disso, há também risco de perda de arquivos pessoais e monitoramento em tempo real do sistema afetado.Como o vírus do WhatsApp feito por Water Saci se propaga?Em paralelo à primeira etapa, outro script em Python é baixado dos servidores do Water Saci – “whatsz.py”. Sua função é, essencialmente, automatizar o envio de malware para todos os contatos da vítima afetada. Para isso, o código utiliza o Selenium, além do apoio de algumas bibliotecas específicas.Analisando o código do “whatsz.py”, o relatório da Trend Micro revela que o Water Saci utilizou recursos de Grandes Modelos de Linguagem (LLM), como Gemini e ChatGPT, para aperfeiçoar sua lógica. Entre os destaques, os pesquisadores citam um sistema de funções otimizadas de mensagem, além de uma extensa automatização de status e classes.Como se proteger de vírus como o de Water Saci no WhatsApp?Ao fim do relatório da Trend Micro, os pesquisadores reforçaram algumas medidas de segurança para evitar a infecção por ameaças como essa. Confira abaixo, na íntegra:Desative downloads automáticos no WhatsApp: isso evita que arquivos maliciosos sejam baixados sem perceber;Controle transferências de arquivos em aplicativos pessoais: em dispositivos da empresa, bloqueie ou limite o envio de arquivos por apps como WhatsApp, Telegram ou WeTransfer;Treine os funcionários: campanhas recentes mostram que empresas são alvo preferencial. Treinamentos ajudam a reconhecer riscos de anexos e links suspeitos, mesmo quando enviados por contatos conhecidos;Prefira canais seguros para documentos corporativos: incentive o uso de plataformas oficiais e aprovadas pela empresa;Reforce a segurança de e-mails e mensagens: limite o acesso a contas pessoais em dispositivos corporativos e use filtros para bloquear sites e domínios maliciosos;Exija autenticação em duas etapas (MFA): isso dificulta invasões em serviços na nuvem e sistemas online. Oriente também a sair das contas após o uso e limpar cookies e tokens regularmente.