Pesquisadores em cibersegurança revelaram detalhes de uma nova campanha que utiliza o WhatsApp como vetor de distribuição de um trojan bancário para Windows chamado Astaroth, com ataques focados no Brasil.
Batizada pela Acronis Threat Research Unit como Boto Cor-de-Rosa, a campanha explora a lista de contatos do WhatsApp das vítimas para enviar automaticamente mensagens maliciosas a cada contato, propagando a infecção.
Segundo a Acronis, enquanto o payload principal do Astaroth é desenvolvido em Delphi e seu instalador usa Visual Basic Script, o módulo worm baseado no WhatsApp foi implementado inteiramente em Python — evidenciando o uso crescente, por criminosos, de componentes modulares em múltiplas linguagens.
O Astaroth, também conhecido como Guildma, é um malware bancário detectado desde 2015, principalmente em usuários da América Latina, com foco no Brasil, para roubar dados sensíveis.
Em 2024, clusters de ameaças monitorados como PINEAPPLE e Water Makara foram identificados utilizando e-mails phishing para disseminar o trojan.
O uso do WhatsApp como meio de entrega para trojans bancários é uma tática recente, que tem ganhado força entre atacantes que miram usuários brasileiros, impulsionada pela popularidade do aplicativo no país.
Em relatório recente, a Trend Micro apontou a campanha Water Saci, que também usa o WhatsApp para espalhar malwares como Maverick e variantes do Casbaneiro.
Já em novembro de 2025, a Sophos publicou um estudo sobre a campanha STAC3150, que distribui o Astaroth via WhatsApp, afetando principalmente dispositivos no Brasil (mais de 95%), com casos também nos Estados Unidos e na Áustria.
Ativa desde setembro de 2025, a ação envia arquivos ZIP contendo scripts downloader que obtêm PowerShell ou Python para coletar dados dos usuários do WhatsApp e propagam o malware, além de um instalador MSI para deploy do trojan.
A descoberta da Acronis reforça essa tendência: arquivos ZIP compartilhados por mensagens no WhatsApp são o ponto inicial da infecção.
Ao extrair e executar o arquivo, a vítima recebe um Visual Basic Script mascarado como um arquivo inofensivo.
A execução desse script inicia o download dos componentes seguintes e marca o início do comprometimento.
O malware possui dois módulos principais:
- Um módulo de propagação em Python que coleta os contatos do WhatsApp da vítima e encaminha automaticamente o arquivo ZIP malicioso para cada contato, disseminando o malware de forma semelhante a um worm.
- Um módulo bancário que funciona em segundo plano, monitorando a navegação da vítima e acionando-se ao acessar URLs relacionadas a bancos, para capturar credenciais e facilitar ganhos financeiros ilícitos.
Além disso, os autores implementaram um sistema interno que monitora e registra métricas da propagação em tempo real, como número de mensagens entregues com sucesso, tentativas falhas e taxa de envio por minuto.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...