Campanha “Boto Cor-de-Rosa” utiliza engenharia social e automação para se espalhar via contatos da vítima; atenção deve ser redobrada ao abrir arquivos ZIP
A equipe da Unidade de Pesquisa da Acronis (TRU) identificou uma nova campanha do malware bancário Astaroth, denominada internamente de “Boto Cor-de-Rosa”, que marca uma evolução significativa nas estratégias de propagação da ameaça.
Pela primeira vez, o Astaroth passa a explorar o WhatsApp Web como canal de disseminação, utilizando mensagens automáticas enviadas diretamente aos contatos da vítima para ampliar a infecção.
Tradicionalmente conhecido por atingir quase exclusivamente usuários brasileiros, o malware mantém seu foco no país ao explorar elementos culturais, o conhecimento do ecossistema local e canais de comunicação amplamente utilizados para maximizar sua eficácia.
Como é feito o ataque
De acordo com a análise da Acronis, a cadeia de infecção começa quando a vítima recebe uma mensagem no WhatsApp contendo um arquivo ZIP malicioso. Ao extrair o conteúdo, um script em Visual Basic, disfarçado como arquivo legítimo, é executado, iniciando o comprometimento do sistema.
Esse script baixa dois componentes principais: o payload bancário do Astaroth e um novo módulo de propagação baseado em Python.
Uma vez ativo, o malware se divide em dois módulos que operam simultaneamente. O módulo de propagação coleta automaticamente a lista de contatos do WhatsApp da vítima e envia o mesmo arquivo malicioso para cada um deles, criando um ciclo contínuo de disseminação.
Já o módulo bancário atua de forma silenciosa, monitorando a navegação do usuário e ativando funções de roubo de credenciais assim que identifica acessos a sites bancários ou financeiros.
Embora o núcleo do Astaroth continue sendo desenvolvido em Delphi e seu instalador utilize scripts VBS, o novo componente responsável pela propagação via WhatsApp foi inteiramente escrito em Python, reforçando a tendência de arquiteturas modulares e multilíngues usadas por cibercriminosos.
Alto nível de engenharia social
A campanha se destaca pelo alto nível de engenharia social. As mensagens utilizam linguagem casual e familiar, como “Aqui está o arquivo solicitado. Qualquer dúvida, fico à disposição!”, aumentando a chance de confiança por parte das vítimas.
Além disso, o código identifica automaticamente o horário local para escolher a saudação adequada — “Bom dia”, “Boa tarde” ou “Boa noite” — tornando a comunicação ainda mais convincente.
Outro aspecto relevante é a capacidade do malware de monitorar seu próprio desempenho, registrando métricas em tempo real como número de mensagens enviadas, falhas e taxa de envio, além de filtrar contatos para servidores remotos.
A Acronis reforça a importância de atenção redobrada ao receber arquivos não solicitados por aplicativos de mensagens, mesmo quando enviados por contatos conhecidos, e recomenda a adoção de estratégias de segurança em camadas.
A ameaça foi detectada e bloqueada com sucesso pelo Acronis EDR/XDR, protegendo usuários contra essa nova variante do Astaroth.
Sobre a Acronis
A Acronis é uma empresa global de proteção cibernética que fornece cibersegurança, proteção de dados e gerenciamento de endpoint integrados para provedores de serviços gerenciados, pequenas e médias empresas e departamentos de TI corporativos.
Fundada em 2003, a empresa possui escritórios em todo o mundo e atua em mais de 150 países, oferecendo soluções em 26 idiomas.
Mais informações em: www.acronis.com
