Atualmente, o WhatsApp é o maior símbolo de comunicação instantânea e, portanto, sinônimo de respaldo, principalmente no Brasil e na Índia. Mas o app tem apelo mundial. Logo, não é difícil concluir que sempre pode haver grupos que se aproveitam dessa “confiança” que os usuários têm no aplicativo para enviar conteúdos maliciosos via internet. Um novo tipo de malware foi detectado pela CASL, ou Comodo Antispam Labs.

A equipe do laboratório de pesquisa especializado em segurança identificou um ataque de malware voltado a perfis corporativos e comuns que utilizem o WhatsApp como forma de comunicação. Integrantes de uma onda phishing, os cibercriminosos estão enviando e-mails falsos que representam informações – disfarçadas, é claro – de conteúdo do WhatsApp para, então, espalhar um malware assim que a mensagem for acessada. Portanto, nem clique.

Os e-mails são enviados de um endereço de e-mail malicioso, dissimulado com um guarda-chuva que veste o símbolo do WhatsApp. No entanto, se os usuários observarem o verdadeiro “DE” no endereço de e-mail, vão notar que não é do aplicativo de conversação.

Veja as possíveis mensagens escritas pelos cibercriminosos

Para espalhar o malware e infectar computadores, os cibercriminosos estão utilizando múltiplos assuntos. Todos eles, por enquanto, aparecem em inglês. Se você receber um e-mail com uma dessas frases, ignore:

  • You have obtained a voice notification xgod
  • An audio memo was missed. Ydkpda
  • A brief audio recording has been delivered! Jsvk
  • A short vocal recording was obtained npulf
  • A sound announcement has been received sqdw
  • You have a video announcement. Eom
  • A brief video note got delivered. Atjvqw
  • You’ve recently got a vocal message. Yop

Repare que cada assunto termina com uma combinação de caracteres aleatórios, como “xgod” ou “Ydkpda”. Essas letras provavelmente são utilizadas para codificar algum tipo de dado e identificar o recipiente.

O anexo contém um arquivo compactado no qual o malware executável reside. Esse arquivo malicioso é uma variante da família “Nivdort”, de acordo com o laboratório, e normalmente é utilizado para se replicar em diferentes diretórios do sistema. Com isso, a “bomba” consegue ser plantada em um registro autoexecutável do computador. Portanto, uma vez aberto, o arquivo compactado libera o malware por todo o sistema.

A equipe da Comodo identificou o e-mail por meio de análise de IP, domínio e URL. “Os cibercriminosos estão se tornando mais e mais marqueteiros, tentando usar assuntos criativos para que os usuários não suspeitem dos e-mails, abram e espalhem o malware. Como uma empresa do setor, a Comodo está trabalhando diligentemente em criar soluções inovadoras de tecnologia que ficam um passo à frente dos cibercriminosos e mantêm empresas e ambientes de TI seguros”, afirmou Faith Orhan, diretor de tecnologia da Comodo.

O time de experts do laboratório da companhia é composto por mais de 40 profissionais em segurança na web, incluindo hackers (éticos), cientistas e engenheiros, responsáveis por detectar e analisar as mais diversas ameaças que surgem na selva da internet mundo afora.

Cuidado para não abrir e-mail falso do WhatsApp: pode ser malware! Comente o assunto no Fórum do TecMundo.