Water Saci: nova versão do vírus para WhatsApp Web usa IA e se espalha automaticamente pelo PC

Relatório da Trend Micro detalha ataque que compromete WhatsApp Web, instala trojans bancários via HTA/ZIP e usa scripts automatizados com Selenium e LLMs para propagar malware entre contatos no Brasil.

Pesquisadores de segurança detectaram uma evolução preocupante do malware conhecido como Water Saci: a nova variante invade PCs via WhatsApp Web, instala um trojan bancário e utiliza scripts automatizados (incluindo um arquivo chamado whatsz.py) para enviar mensagens maliciosas a todos os contatos da vítima sem comando humano. O relatório indica que o ataque combina técnicas clássicas de phishing com recursos de inteligência artificial para tornar a infecção mais rápida e resiliente.

Como funciona a nova cadeia de ataque

A infecção começa com engenharia social: uma mensagem legítima — muitas vezes enviada por um contato “confiável” já comprometido — convence o usuário a abrir um anexo. O malware explora vários formatos de arquivo:

• .ZIP contendo executáveis ou scripts;
• .PDF que solicita uma “atualização” falsa;
• .HTA (HTML Application), que executa código automaticamente ao ser aberto — o vetor que facilita a ativação sem etapas extras do usuário.

Arquivos HTA e scripts têm sido destaque na investigação por reduzir o número de cliques necessários para a execução do código malicioso.

O que o malware faz após entrar no PC

Uma vez ativo, o Water Saci baixa artefatos adicionais de um servidor de comando e controle: um instalador MSI contendo o trojan bancário e scripts em Python. Esses componentes:

• fazem varredura por indícios de softwares e sites bancários instalados no PC;
• ofuscam processos e tentam desabilitar antivírus e proteções do navegador;
• copiam históricos e tokens que ajudam os invasores a identificar a instituição financeira do usuário;
• instalam persistência para reiniciar com o sistema, ativando-se sempre que o usuário acessa serviços bancários.

O objetivo final é capturar credenciais, interceptar transações e abrir janelas falsas sobre sites legítimos para extrair senhas e códigos.

Propagação automática pelo WhatsApp

Paralelamente, o componente whatsz.py (analisado pela equipe) usa Selenium para controlar o WhatsApp Web no navegador da vítima. O script automatiza o envio de mensagens, status e arquivos infectados para a lista de contatos — criando um efeito “worm” que multiplica rapidamente a campanha dentro da rede de confiança do usuário. Pesquisadores destacaram ainda que funções baseadas em Grandes Modelos de Linguagem (LLMs), como Gemini e ChatGPT, foram empregadas para otimizar textos de isca e variar a abordagem de mensagens, tornando-as mais críveis.

Instituições financeiras visadas

O relatório lista uma série de bancos e instituições brasileiros cujos clientes têm sido alvo prioritário do Water Saci. Entre os citados estão:

• Banco do Brasil
• BMG
• Bradesco
• BS2
• BTG Pactual
• Caixa Econômica Federal (CEF)
• Itaú
• Santander
• Sicoob
• Sicredi

O foco em bancos e corretoras faz do ataque uma ameaça tanto a usuários finais quanto a empresas que trabalham com operações financeiras e criptoativos.

Por que a variante é mais perigosa

Os fatores que elevam o risco deste surto incluem: automação completa da propagação, uso de HTA que exige pouca ou nenhuma ação adicional do usuário, integração de módulos que neutralizam defesas e a utilização de IA para escrever mensagens de phishing altamente personalizadas. Especialistas apontam que campanhas desse tipo atingem rapidamente grandes massas de contatos porque exploram a confiança interpessoal — o “vínculo social” entre remetente e receptor.

Como se proteger — recomendações práticas

Pesquisadores da Trend Micro e especialistas do setor reforçam medidas essenciais para reduzir o risco de infecção:

• Desative downloads automáticos no WhatsApp Web e no celular;
• Nunca abra anexos suspeitos mesmo quando enviados por contatos conhecidos — confirme por outro canal;
• Evite abrir arquivos .HTA, .EXE ou .MSI recebidos por mensagens;
• Em dispositivos corporativos, bloqueie o uso de aplicativos de mensagem para transferência de arquivos ou restrinja a instalação de extensões de navegador;
• Use autenticação de dois fatores (MFA) em contas bancárias e serviços críticos;
• Atualize sistema operacional e antivírus e aplique políticas de whitelist para executáveis permitidos;
• Promova treinamentos de conscientização com equipes e usuários sobre phishing e engenharia social;
• Em caso de suspeita, desconecte o computador da internet imediatamente e acione suporte técnico especializado.

Empresas que dependem de mensagens instantâneas devem considerar políticas de bloqueio do WhatsApp Web em terminais corporativos e migrar a troca de arquivos a plataformas seguras e auditáveis.

O que fazer se você foi afetado

Se notar comportamento anômalo do WhatsApp (mensagens enviadas sem sua ação) ou perda de acesso a serviços bancários:

1. Desconecte imediatamente o WhatsApp Web e altere senhas em outro dispositivo seguro;
2. Acione o banco para bloquear cartões e tokens;
3. Procure suporte de TI para varredura e reinstalação do sistema, se necessário;
4. Registre boletim de ocorrência e comunique o incidente às instituições financeiras afetadas.

Relatórios oficiais e boletins de inteligência sobre Water Saci indicam que a resposta rápida reduz perdas e impede nova propagação via contatos.

Este texto foi elaborado a partir de análises e relatórios técnicos sobre a campanha Water Saci, com base em publicações de empresas e veículos especializados em cibersegurança. Para aprofundar, consulte os relatórios originais da Trend Micro e as matérias de análise técnica citadas nas referências abaixo.

Leia mais sobre segurança digital e tecnologia em nossa editoria de Tecnologia e em Como se proteger.