
Em nossas operações diárias de monitoramento, identificamos uma campanha ativa do Coyote Banking Trojan, uma ameaça furtiva que está sendo disseminada via WhatsApp no Brasil.
Como Funciona?
1️⃣ Disseminação – O trojan chega como um arquivo ZIP disfarçado de comprovante bancário, exemplo: ComprovanteItaú_2025-92627.436.pdf.zip.
2️⃣ Execução Oculta – O ZIP contém um atalho (.LNK) que ativa comandos maliciosos via PowerShell para baixar o malware.
3️⃣ Roubo de Dados – Captura credenciais bancárias, teclas digitadas (keylogging), prints de tela e pode executar phishing.
4️⃣ Autopropagação – Em alguns casos, envia mensagens maliciosas para os contatos do WhatsApp da vítima.
"Realizamos um estudo para clientes que já estão recebendo essa ameaça. O grande perigo está no uso do WhatsApp Web no computador. Como essa ameaça vem criptografada, ela passa pelos filtros de firewall e operadora, sendo inspecionada somente na estação do usuário. Isso significa que se a empresa não tiver uma solução de EDR na máquina, a infecção pode ocorrer sem qualquer bloqueio,” destacou @carlos_schnorr, nosso Diretor Técnico.
O EDR da Sophos bloqueou a ameaça antes da execução, identificando arquivos suspeitos na pasta de transferência do WhatsApp. O malware utiliza técnicas avançadas de evasão, como injeção de código e persistência no Registro do Windows, dificultando sua remoção.
“Mesmo com monitoramento avançado, sem proteção nos dispositivos dos usuários, o Coyote pode roubar credenciais, acessar redes internas e iniciar ataques devastadores explorando o elo mais fraco: o próprio usuário", completa Schnorr.
Como se Proteger?
✅ Nunca abra arquivos ZIP desconhecidos, mesmo de contatos confiáveis.
✅ Utilize EDR em todas as estações de trabalho.
✅ Monitore acessos e implemente autenticação multifator.
✅ Evite usar WhatsApp Web sem proteção adequada.
Segurança completa vai além de firewalls e antivírus. Proteja toda a sua infraestrutura com soluções especializadas. Fale com nossos especialistas!
Comments