Water Saci: o malware que ameaça bancos e corretoras no Brasil

Uma ameaça cibernética chamada Water Saci está mirando especificamente instituições financeiras brasileiras através do WhatsApp. O malware, identificado recentemente pela Trend Micro, já afetou 457 organizações no Brasil e utiliza técnicas sofisticadas de autopropagação para roubar credenciais bancárias de usuários de Banco do Brasil, Caixa, Itaú e Bradesco, além de informações de contas em corretoras de criptomoedas.

Diferentemente de ataques tradicionais, o Water Saci não se concentra apenas no roubo de dados ou na instalação de ransomware. Sua característica mais perigosa é a capacidade de autopropagação através de contas de WhatsApp sequestradas, aproveitando-se da confiança entre contatos para espalhar rapidamente a ameaça.

O ataque começa quando a vítima recebe uma mensagem via WhatsApp de um contato já comprometido – geralmente um amigo ou colega de trabalho – contendo um arquivo ZIP malicioso com nomes genéricos como “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”. A mensagem normalmente instrui o destinatário a abrir o arquivo em um computador, indicando o foco dos criminosos em ambientes corporativos.

Quando o usuário descompacta o arquivo, encontra um atalho (.LNK) aparentemente inofensivo que, ao ser clicado, executa discretamente um script PowerShell malicioso. Este script conecta-se a domínios controlados pelos atacantes e baixa componentes adicionais do malware SORVEPOTEL, nome que curiosamente se assemelha à expressão brasileira “sorvete no pote”.

Como o Water Saci rouba informações bancárias

Uma vez instalado no sistema da vítima, o Water Saci ativa módulos especializados como o Maverick.StageTwo e o Maverick.Agent. Estes componentes são responsáveis por monitorar continuamente a navegação do usuário, esperando que ele acesse sites de instituições financeiras brasileiras.

Quando detecta o acesso a um site bancário, o malware implementa sua técnica mais sofisticada: a criação de janelas de sobreposição falsas que parecem fazer parte do site legítimo. Essas janelas solicitam credenciais adicionais, assinaturas eletrônicas ou exibem códigos QR falsos, enquanto capturam silenciosamente as informações inseridas pelo usuário.

A análise da Trend Micro revelou que o malware possui um mecanismo de sequestro de sessões ativas do WhatsApp Web. Quando detecta uma sessão aberta no navegador, o Water Saci a utiliza para enviar automaticamente a mesma mensagem maliciosa para todos os contatos e grupos da vítima, criando um efeito dominó de infecções.

Além das instituições financeiras tradicionais, os criminosos por trás do Water Saci também têm como alvo corretoras de criptomoedas, ampliando o potencial de prejuízo financeiro para as vítimas que mantêm ativos digitais.

Proteção contra a ameaça

A campanha do Water Saci demonstra um alto grau de sofisticação, com técnicas específicas para evitar detecção. Os atacantes utilizam domínios ofuscados com erros de digitação intencionais, como “sorvetenopotel”, para camuflar a infraestrutura maliciosa em meio ao tráfego legítimo.

Segundo o relatório, além do setor financeiro, a campanha já impactou organizações governamentais, serviços públicos, manufatura, tecnologia, educação e construção no Brasil, sendo responsável por 457 dos 477 casos detectados globalmente.

Para se proteger contra esta ameaça, a Trend Micro recomenda:

• Desativar os downloads automáticos no WhatsApp através das configurações do aplicativo

• Implementar políticas de segurança que restrinjam transferências de arquivos via aplicativos de mensagens em dispositivos corporativos

Fonte: Hardware.com.br