WhatsApp Web sotto assedio: come un malware silenzioso sfrutta la fiducia per rubare i tuoi segreti
Cybercriminali brasiliani scatenano una nuova ondata di trojan bancari sfruttando WhatsApp Web, trasformando i contatti fidati in complici inconsapevoli.
In breve
- Campagna malware prende di mira utenti brasiliani tramite WhatsApp Web, rubando dati finanziari e liste di contatti.
- L’attacco utilizza strumenti di automazione per dirottare le sessioni e diffondersi attraverso i contatti fidati delle vittime.
- Phishing avanzato elude gli antivirus eseguendo codice malevolo interamente in memoria.
- I trojan bancari monitorano oltre 20 tra le principali istituzioni finanziarie e piattaforme crypto.
- Gli aggressori esfiltrano i dati rubati verso server remoti in tempo reale per controllare la campagna.
Fiducia sfruttata: un nuovo manuale del malware
Immagina questa scena: un messaggio amichevole appare nella tua chat WhatsApp, inviato da un contatto familiare. In allegato, un file accompagnato da un saluto cortese-niente di sospetto, vero? Ma dietro le quinte, un predatore silenzioso è all’opera, sfruttando proprio la fiducia che rende WhatsApp una parte così vitale della vita quotidiana in Brasile.
Non è la prima volta che i cybercriminali prendono di mira piattaforme popolari, ma l’ultima campagna scoperta da K7 Labs segna un’evoluzione pericolosa. Combinando strumenti di automazione open-source, abile offuscamento e malware residente in memoria, gli hacker hanno creato un attacco quasi invisibile che trasforma WhatsApp Web sia in un sistema di consegna che in un sifone di dati.
Come funziona l’attacco: automazione, inganno e memoria
Lo schema inizia con una classica email di phishing contenente un file ZIP trappola. All’interno si nasconde uno script che, una volta cliccato, scarica strumenti legittimi come Python e Selenium-di solito innocui, ma qui trasformati in armi per automatizzare WhatsApp Web. Il malware aggira gli antivirus codificando le sue azioni e mantenendo i payload in memoria, come un ladro che non lascia impronte.
La cosa più inquietante è che il malware non ha bisogno del tuo codice QR per dirottare la sessione. Fruga tra i dati memorizzati dal browser-cookie, token di sessione e altro-poi avvia WhatsApp Web come se fossi tu. Una volta ottenuto l’accesso, inietta codice malevolo per raccogliere l’intera lista dei tuoi contatti, escludendo aziende e gruppi, e invia nuovi messaggi di phishing ad amici e familiari. Ogni messaggio contiene l’allegato infetto, distribuito interamente in memoria così che gli strumenti di sicurezza restino ciechi.
Trojan bancari e un focus brasiliano
Ma il colpo non si ferma all’ingegneria sociale. Parallelamente alla diffusione tramite WhatsApp, il malware installa un trojan bancario pronto a monitorare l’attività su oltre 20 banche brasiliane e sulle principali piattaforme crypto come Binance e Coinbase. Quando l’utente apre un’app o un sito bancario, il trojan entra in azione-si insinua in memoria, raccoglie credenziali e invia tutto ai server controllati dagli aggressori tramite canali criptati.
Questa campagna, soprannominata Water-Saci, appartiene a una lunga tradizione di malware bancari brasiliani. Attacchi simili-come quelli che coinvolgono i trojan Grandoreiro e Mekotio-affliggono il Sud America da anni, spesso sfruttando la fiducia sociale e le abitudini bancarie locali. Ciò che rende Water-Saci unico è la sua perfetta integrazione con l’automazione di WhatsApp e la straordinaria capacità di eludere i rilevamenti basati su disco, una tendenza evidenziata di recente dagli analisti di sicurezza di Kaspersky e IBM X-Force.
La corsa agli armamenti dell’ingegneria sociale
L’ingegneria sociale resta l’arma segreta degli hacker. Sfruttando contatti reali e fidati, gli aggressori aumentano drasticamente le probabilità di ingannare anche gli utenti più cauti. Con il dominio di WhatsApp nella vita quotidiana brasiliana, il costo sociale di una violazione-perdita di fiducia, danni economici e diffusione tra i propri cari-può essere devastante. Man mano che il Brasile continua a digitalizzare il proprio settore finanziario, la posta in gioco non potrà che aumentare.
WIKICROOK
- Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o cliccare su link malevoli.
- Token di sessione: Un token di sessione è un codice digitale unico che mantiene gli utenti connessi a siti web o app. Se rubato, permette agli aggressori di accedere agli account senza password.
- Memoria: La memoria è l’archivio temporaneo di un computer che contiene dati e istruzioni attive. È spesso bersaglio di attacchi informatici alla ricerca di informazioni sensibili.
- Script di automazione: Uno script di automazione è una serie di istruzioni che esegue compiti automaticamente, come effettuare il login o inviare messaggi, senza bisogno di intervento umano.
- Trojan bancario: Un trojan bancario è un malware che prende di mira i dati finanziari rubando credenziali bancarie e informazioni personali, spesso imitando app affidabili.




