Por Natasha Mendes Cunha, analista de segurança da Real Protect


Recentemente, foi identificada uma nova variante do malware Zeus (ZBot) que, para infectar o computador-alvo, utiliza um dos aplicativos mais populares para dispositivos móveis, o WhatsApp. Isso mesmo, o queridinho da vez dos usuários de smartphones tem tido o nome e a fama utilizados para atacar a segurança de milhares de pessoas e empresas, podendo gerar consequências como o roubo de dados bancários e outras informações pessoais ou corporativas, como login e senha de redes sociais e sites de compras online, que serão utilizadas pelo criminoso para roubos e negociações indevidas. 

A ameaça funciona da seguinte forma, o Zeus faz-se passar por uma falsa mensagem WhatsApp, que é enviada por e-mail sob o remetente WhatsApp Messenger, com o arquivo “Missed-message.zip” anexado. Ao realizar o download e descompactar o arquivo, o usuário clica em outro arquivo de mesmo nome que é identificado como um  Dropper (nomenclatura usada para arquivos que realizam downloads de outras ameaças). Este arquivo executa outro arquivo, o budha.exe, que tem a mesma função de dropper, e também de iniciar um processo chamado kilf.exe. Este processo limpa todos os rastros dos arquivos anteriores, e logo após deleta a si mesmo. Em seguida, o Zbot entra em cena. O malware também pode estabelecer-se conectando a ação do usuário a sites para baixar arquivos de configuração que determinam os alvos. Uma vez instalados, esses sistemas têm a capacidade de desativar o Firewall do Windows e subir seus processos em memória. Também possuem habilidades de Rootkits, ocultando seus componentes dos usuários e dificultando a remoção (extração do programa). Além disso, a ameaça envia e-mails de phishing do computador infectado, fazendo-se passar por instituições bancárias, também monitora a navegação web do usuário e insere códigos JavaScript nas páginas legítimas dos bancos, enviando as informações coletadas via HTTP POST para o atacante, que pode roubar o dinheiro diretamente da vítima, ou vender as informações no mercado negro.

O que torna essa ameaça antiga, já conhecida e difícil de detectar é que ela tem a capacidade de se reinventar e evoluir junto com a tecnologia… Assim, para prevenir-se é fundamental ter um antivírus de qualidade instalado e sempre atualizado. Abaixo seguem algumas dicas que podem ajudar na prevenção:

1.       Caso receba algum e-mail de remetente WhatsApp, não abra. Este software não costuma enviar e-mails aos seus usuários, mas, sim, enviar mensagens diretamente por ele, como para a atualização;

2.       Revise as políticas do filtro de e-mail da sua empresa para que sejam mais restritas, evitando que cheguem falsos e-mails para os usuários;

3.       Mantenha o antivírus sempre atualizado.

 

Fontes:

http://about-threats.trendmicro.com/Malware.aspx?language=au&name=TSPY_ZBOT

http://adrenaline.uol.com.br/seguranca/noticias/20165/novo-golpe-no-whatsapp-falsa-mensagem-de-voz-busca-roubar-dados-dos-usuarios.html