A ESET alerta sobre um e-mail falso que tenta fazer as vítimas acreditarem que é uma comunicação oficial do WhatsApp e as convida a baixar uma cópia de backup das conversas e do histórico de chamadas no aplicativo de mensagens. O verdadeiro objetivo do email é distribuir o Trojan bancário Grandoreiro, que rouba credenciais bancárias.

O Escritório de Segurança da Internet da Espanha (OSI) e a Guarda Civil alertaram sobre uma campanha de phishing na qual é feita uma tentativa de se passar pelo WhatsApp: Correio que está circulando e inclui um arquivo HTML anexado. 

Mensagem do E-mail

No e-mail, a mensagem inclui um anexo chamado "Open_Document_513069.html". Este é um arquivo HTML que contém um URL encurtado pelo serviço bitly. De acordo com uma análise realizada do HTML anexado, clicar nele redireciona para um site no qual é feito o download de um arquivo .zip. Esse arquivo compactado contém um instalador MSI que baixa a ameaça, o trojan bancário Grandoreiro. Se o usuário executar o arquivo baixado, o computador provavelmente será infectado com o malware.

Segundo a análise detalhada do Grandoreiro publicada pela ESET, é um Trojan bancário escrito em Delphi que compartilha muitas características com outras famílias de Trojan muito ativas na América Latina. Algumas dessas famílias se expandiram para além da América Latina e começaram a direcionar suas campanhas para usuários na Espanha e em outros países europeus. Em 2020, o Grandoreiro estava presente principalmente em países como Brasil, Espanha, México e Peru. E logo após a pandemia ser decretada, foram detectados e-mails nos quais o tema COVID-19 era usado para enganar os usuários.

Depois de infectar o computador da vítima, o principal objetivo desse Trojan é roubar credenciais bancárias por meio de pop-ups falsos que fazem a vítima acreditar que é o site oficial do banco. Além disso, como os outros cavalos de Troia bancários latino-americanos, possui funcionalidades de backdoor que permitem ao invasor realizar outras ações maliciosas no computador comprometido, como registro de pressionamentos de tecla (keylogging), simulação de ações de mouse e teclado, logout da vítima, bloqueia o acesso a determinados sites ou mesmo reinicialização do computador, para citar alguns de seus recursos.

De acordo com os dados de telemetria da ESET, os logs dos últimos 90 dias para a mesma variante Grandoreiro detectada nesta campanha que se faz passar pelo WhatsApp mostram a atividade do Trojan principalmente na Espanha, mas também no México e no Brasil. "Isso não significa que se trate da mesma campanha que está circulando nesses países, mas também não podemos descartar a possibilidade de que essa mesma estratégia de engenharia social não seja utilizada posteriormente em campanhas que visem países latino-americanos, por isso é importante se informar sobre esses tipos de campanhas de phishing para evitar cair na armadilha caso receba um e-mail com essas características. ", comenta Camilo Gutiérrez Amaya, chefe do Laboratório de segurança da ESET América Latina.

No site do Internet Security Office, eles não descartam que existam outros e-mails em circulação com assuntos diversos.