Malware Utilizando WhatsApp

A ameaça se propaga através de contas de WhatsApp comprometidas, que enviam um arquivo compactado (.zip) para a lista de contatos da vítima.

Publicado em 07/10/2025 19:19Modificado em 08/04/2026 21:29
Compartilhe:

Campanha de Malware Utilizando WhatsApp como Vetor de Entrega

Destinatários: Este alerta destina-se a profissionais de segurança cibernética, administradores de redes, equipes de prevenção, tratamento e resposta a incidentes cibernéticos (ETIRs) e usuários finais.

Resumo: Foi identificada uma campanha de malware com foco em usuários no Brasil, utilizando o WhatsApp como principal vetor de entrega. A ameaça se propaga através de contas de WhatsApp comprometidas, que enviam um arquivo compactado (.zip) para a lista de contatos da vítima. A mensagem instrui o destinatário a abrir o arquivo infectado em um computador.

A cadeia de ataque observada segue as seguintes etapas:

  1. Vetor Inicial: O arquivo .zip distribuído contém um atalho malicioso (.lnk).
  2. Execução: Ao ser executado pelo usuário, o atalho utiliza o cmd.exe para iniciar uma cadeia de ataque multiestágio, que por sua vez executa scripts via PowerShell.
  3. Comando e Controle (C2): O script PowerShell estabelece comunicação com um servidor de Comando e Controle (C2) controlado pelo atacante para baixar o payload final.
  4. Ações no Alvo: O payload principal final foi projetado especificamente para o furto de credenciais financeiras. Adicionalmente, o malware estabelece mecanismos de persistência no sistema operacional comprometido.
  5. Propagação Lateral: Para manter seu ciclo de vida, a ameaça sequestra a sessão ativa do WhatsApp Web da vítima, utilizando-a para se propagar para novos alvos na lista de contatos.

A natureza dinâmica do payload, obtido via C2, representa um risco adicional, pois permite que os atacantes modifiquem suas táticas e ferramentas a qualquer momento. Isso possibilita a evolução da campanha para incluir outros tipos de malware.

Impacto:

  • Comprometimento da sessão do WhatsApp Web, resultando na propagação do malware para novas vítimas.
  • Vazamento e exfiltração de credenciais bancárias e outras informações financeiras sensíveis de sistemas comprometidos.
  • Implantação de um backdoor, garantindo acesso remoto persistente ao sistema da vítima e permitindo a execução de comandos arbitrários pelo atacante.

Ações imediatas recomendadas:

  • Orientar os colaboradores a não executar anexos compactados (.zip) nem atalhos (.lnk) recebidos via WhatsApp e a reportar imediatamente qualquer mensagem suspeita, mesmo que proveniente de um contato conhecido.
  • Assegurar que as proteções nativas do sistema operacional estejam ativas e atualizadas.
  • Manter as soluções de segurança (AV/EDR) atualizadas e realizar o bloqueio proativo dos Indicadores de Comprometimento (IoCs) conhecidos em firewalls, proxies e endpoints.
  • Restringir a execução do PowerShell via GPO, habilitando o Constrained Language Mode, a fim de mitigar o uso de funções como Invoke-Expression (IEX), exploradas por esta ameaça.
  • Configurar alertas de monitoramento para detectar a execução do processo powershell.exe a partir do cmd.exe, especialmente quando utilizar argumentos de ofuscação como -enc.
  • Realizar varredura ativa nas estações, verificando a pasta de inicialização do Windows (%AppData%\Microsoft\Windows\Start Menu\Programs\Startup) em busca de arquivos .bat maliciosos, em especial aqueles que se iniciem com "HealthApp-".

Indicadores de Comprometimento (IOC)

URLs:

  • adoblesecuryt(.)com
  • bravexolutions(.)com
  • casadecampoamazonas(.)com
  • etenopote(.)com
  • expahnsiveuser(.)com
  • expansivebot(.)com
  • expansiveuser(.)com
  • hats-whatsapp(.)com
  • imobiliariaricardoparanhos(.)com
  • lie-whatsapp(.)com
  • n8nwhatsapp(.)org
  • onlywhatsapps(.)com
  • saogeraldoshoping(.)com
  • sorv.etenopote(.)com
  • sorvetenopoate(.)com
  • sorvetenopote(.)com
  • sorvetenopotel(.)com
  • w9d-whatsapp(.)net
  • wap-whatsap(.)com
  • whatsapp-labs(.)com
  • whatsappbrasil(.)com
  • whatsappenerp(.)com
  • whatsappenrolling(.)com
  • whatsappez(.)cc
  • whatsappu(.)com
  • zapgrande(.)com

Hashes de Arquivos (SHA-256):

  • 011b04b3c8e9e7975ca405a57bcf82cdba69a85dec29ec59d523b767ffd9c603
  • 0981a1461a7d823e2259eab4d0ef24bf1074ef10424e504e25b9d1380ed187f1
  • 1a0af26749f5bc21732c53fc12f3a148215c8221cbeffe920411656f1ffe7500
  • 21e7b73457e5954c4fb8aa569b379eeef6c244c51778f2fdbeff8380eb02a16d
  • 276c4a5957597c342daeb4d90f542eab939fc2997cf4ec9720ce411972f6c879
  • 291b2c9c4c1382a067da93eee4dd68bdecf535ed3b843d979622bc6849e904e4
  • 2d441e416f8e0c228391bab6ebf8b4e038a2d09432bc2d6e73da47cfba4044fb
  • 2d83c4d620866f4ae647ed6a70113686bb7b80b1a7bbdcf544fd0ffec105c4a6
  • 3b68826e4a1d95b1dd58b3bf1095750f31a72d8bddd1dbb35e6547ac0cf4769b
  • 46033323a729e608da731aec81de97ed1f0d673168690a803bfa630bd9954bc9
  • 6d20bd31298569d7647a38a347915d1ff7da740e539417dcf82a8b3ed7b7f090
  • aad33a043da0073dc070942c3a15b3f62dc8013e416187cea5b4f37ae1f0f798
  • adb29d2eef4ce1911f79f20469f4279bd9124c3f05cd8648841e0175db3f37d6
  • b848cd959cb2543f3ec68701a2f64caf5fcc2f6e86b8f87f7ba1e9eabc436b30
  • bd62148637152396b757c8b106d5a62982bce9df12f0a6030dda9138e44e7328
  • c50b6ff360e5614d91f80a5e2d616a9d0d1a9984751bf251f065426a63dac0b5
  • c658f6f3e022102200e5a3a984398012cbaa629ba438fb3b5e639b8b86d62447
  • db94572d8802433ea2100b2eb840697d92c859dc28d5c63ae197eef1aeba72fb
  • dcdde53c50aef9531c9f59f341a4e2d59796cdd94a973f2c2a464b2cafed41f5
  • ed6875f870585873a57a5752686061182cd0129458f5e50ea87d64fbdde57f7d
Compartilhe: