O Brasil está diante de uma das campanhas de malware mais sofisticadas já observadas envolvendo o WhatsApp Web. Pesquisadores da Trend Micro identificaram uma nova versão do Water Saci, um agente malicioso que evoluiu rapidamente para um nível preocupante. Agora, ele combina automação avançada, técnicas de invasão bancária, controle de navegador e o uso direto de inteligência artificial para se espalhar com mínima intervenção humana.
A ameaça atinge principalmente computadores com Windows e transforma o WhatsApp da vítima em um mecanismo de distribuição de malware totalmente automatizado. Ao mesmo tempo, a infecção executa coleta de dados bancários, extrai informações sensíveis do sistema e cria persistência profunda, o que permite invasões financeiras em larga escala.O Water Saci representa um marco importante: criminosos brasileiros integrando IA generativa em campanhas de malware para aperfeiçoar lógica, automação e dispersão.
A porta de entrada: phishing sofisticado e disfarçado de contatos confiáveis
O ataque começa com o velho conhecido do cibercrime: o phishing. A diferença está no nível de engenharia social. A vítima recebe mensagens no WhatsApp enviadas por contatos reais, já que o vírus se espalha automaticamente entre as listas de amigos e grupos comprometidos.
As iscas vêm em formatos diversos:
ZIP
Arquivos compactados que, ao serem extraídos, liberam o malware.
Documentos que simulam uma atualização de sistema. Assim que o usuário aceita instalar a suposta versão, um código malicioso é executado.
HTA
O formato mais perigoso. Arquivos HTA executam scripts automaticamente quando abertos, eliminando etapas que antes dependiam do erro humano.
A partir desse ponto, o atacante tem acesso suficiente para iniciar a cadeia de infecção. O computador se conecta ao servidor remoto do Water Saci e baixa dois componentes principais: um instalador MSI contendo o Trojan bancário e um script Python destinado à análise do sistema.
Coleta bancária silenciosa: como o Water Saci localiza sua instituição financeira
O malware age como um scanner de atividades financeiras no Windows. Ele procura sinais deixados pelos módulos de segurança dos bancos, uma prática comum no Brasil. Pastas, logs e extensões instaladas pelos apps oficiais são reunidos e enviados ao servidor dos criminosos.
A pesquisa da Trend Micro identificou que o Water Saci mira diretamente:
Banco do Brasil
BMG
Bradesco
BS2
BTG Pactual
Caixa
Itaú
Santander
Sicoob
Sicredi
A partir dessa descoberta, o sistema ajusta sua infiltração com foco no banco utilizado pela vítima. Antivírus podem ser desativados, processos legítimos são substituídos e o Trojan passa a ser inicializado toda vez que o usuário abre o site da instituição.
O objetivo é simples e devastador: capturar credenciais, tokens, senhas, cookies e o fluxo de autenticação em tempo real.
Controle profundo do sistema e risco de perda de dados
Com o Windows já comprometido, o Water Saci abre caminho para ações de maior impacto, como:
• coleta de arquivos pessoais
• cópia de histórico de navegação
• modificação de processos nativos
• criação de persistência para reinício automático
• vigilância completa da atividade bancária
É uma combinação de spyware, backdoor, trojan bancário e worm, tudo integrado em um único ecossistema malicioso.
A peça mais avançada: a automação de envio de malware pelo WhatsApp
O Water Saci também baixa um segundo script Python chamado whatsz.py. Ele utiliza Selenium e bibliotecas adicionais para controlar o WhatsApp Web como se fosse um usuário real.
O que torna essa fase preocupante é a descoberta da Trend Micro de que o código inclui otimizações típicas de LLMs, como Gemini e ChatGPT. Funções inteiras foram estruturadas com padrões que refletem instruções de IA generativa, permitindo:
• automatização completa de envio de mensagens
• detecção aprimorada de elementos da interface
• atualização dinâmica de comandos
• lógica modular criada com apoio de IA
Na prática, isso transforma cada máquina infectada em um ponto de distribuição autônomo do vírus, algo incomum no ecossistema brasileiro de malware.
A campanha ganha escalabilidade. O ataque deixa de depender de operadores para se expandir. A própria vítima se torna um vetor ativo de infecção.
Um ataque em camadas: invasão financeira, sequestro de contatos e automação por IA
O Water Saci combina diversas frentes de ataque:
• Infecção inicial por phishing
• Instalação de trojan bancário
• Varredura e coleta de informações sensíveis
• Persistência e modificação do sistema
• Comunicação com servidores remotos
• Automação de envio de malware pelo WhatsApp
• Suporte de inteligência artificial para otimizar código
Trata-se de um malware altamente modular e escalável que antecipa o que veremos cada vez mais na América Latina: campanhas criminosas utilizando IA para evoluir rapidamente sem exigir conhecimento avançado de programação por parte dos atacantes.
Como se proteger da nova geração de ataques ao WhatsApp Web
Os pesquisadores da Trend Micro recomendam medidas práticas para empresas e usuários:
• Desative downloads automáticos no WhatsApp
• Restringir transferência de arquivos em dispositivos corporativos
• Implementar treinamentos regulares sobre phishing e links suspeitos
• Priorizar plataformas oficiais para envio de documentos
• Reforçar filtros de e-mail, bloqueio de domínios e políticas de acesso
• Ativar autenticação em duas etapas e revisar tokens salvos
• Garantir que dispositivos corporativos não utilizem WhatsApp pessoal
Para empresas, o alerta é ainda mais claro: o WhatsApp Web se tornou um vetor crítico de risco operacional e deve ser tratado como tal nas políticas internas de segurança.
O Water Saci marca a entrada dos criminosos brasileiros no uso direto de IA generativa para elevar a complexidade dos ataques digitais. Ele invade computadores, rouba dados bancários, manipula o navegador e usa o WhatsApp Web como arma para espalhar novos arquivos maliciosos.
Com a automação criada via Python, Selenium e código auxiliado por LLMs, o processo funciona quase sem intervenção humana. Isso inaugura uma nova fase de ameaças no país, em que a velocidade de evolução do cibercrime se aproxima cada vez mais da capacidade tecnológica das grandes empresas.
