Criminosos espalharam arquivo via WhatsApp, que tem contaminado centenas de empresas; especialistas da Solo Iron descobriram ambiente usado para o ataque
A equipe de inteligência cibernética da Solo Iron analisou e reverteu uma campanha organizada de engenharia social que utiliza o WhatsApp como vetor de entrega para um malware fileless, batizado internamente como WhatsApp Spray. O relatório técnico divulgado nesta quarta-feira descreve em detalhe a cadeia de ataque – desde o envio de arquivos aparentemente legítimos até a execução de código diretamente na memória – e traz indicadores acionáveis, regras de detecção e recomendações práticas de contenção para ambientes corporativos.
Toda a operação de disseminação do ataque é mensurada pelos criminosos com o uso de um dashboard, onde foram encontradas ferramentas de gestão da campanha: geração automatizada de nomes de arquivos maliciosos, painel estatístico com métricas de entrega, como total de envios, taxas de sucesso/fracasso, e controle da distribuição de URLs para download dos payloads.
“Esses artefatos apontam para uma operação profissionalizada, com mecanismos de mensageria em larga escala e infraestrutura pública de bots ligada a múltiplos domínios e IPs”, explica Felipe Guimarães, CISO da Solo Iron. O padrão observado de TTL (Time To Live) uniforme entre recursos também forneceu traços adicionais de correlação entre os componentes da infraestrutura maliciosa.
A descoberta é relevante agora porque explorações via mensageria instantânea têm se mostrado um vetor cada vez mais eficaz para operadores que buscam evasão e alcance rápido. A operação observada pela Solo Iron teve início em 1º de outubro e apresentou um alto nível de automação e escala operacional, com painel de controle e base de números de telefone utilizados para distribuição massiva.
“Nossa equipe chegou a comprometer o ambiente dos próprios servidores dos criminosos, conduzindo uma operação de coleta de inteligência sem precedentes para mapear as variantes envolvidas e entender toda a cadeia do ataque”, explica Felipe Guimarães, CISO da Solo Iron. “Fizemos um trabalho bem aprofundado de engenharia reversa”, completa.
A análise técnica conduzida pela equipe de Threat Intelligence da Solo Iron, explorou tanto artefatos coletados em endpoints quanto a infraestrutura pública utilizada pelo operador, chegando a acessar – por meio de vulnerabilidades em um dos domínios investigados – o painel administrativo usado para distribuição dos payloads. A exploração controlada permitiu caracterizar a escala da operação, validar domínios e IPs associados, e coletar métricas operacionais que embasam as recomendações do relatório. O material resultante inclui cadeia de ataque detalhada, código de exemplo do payload, captura de processos .NET carregados em memória e as ferramentas de detecção propostas.
Vectores e técnica: como o ataque funciona
A campanha começa com o envio de arquivos compactados (.zip) via WhatsApp, cujo conteúdo aparenta ser comprovantes bancários e documentos financeiros. Dentro do .zip há um atalho malicioso; ao executar o atalho, o cmd.exe é acionado com uma string específica que, por sua vez, invoca o powershell.exe para executar uma linha de comando ofuscada em Base64. Esse comando baixa um script remoto que carrega um assembly .NET diretamente na memória por meio de Assembly.Load, sem gravar artefatos no disco – comportamento típico de malwares fileless e que dificulta a detecção por soluções baseadas apenas em assinatura.
O uso de execução em memória permite ao criminoso realizar etapas subsequentes – enumeração de dispositivos de armazenamento, levantamento de processos ativos, tentativa de elevação de privilégios, e alteração de regras de firewall para permitir tráfego – tudo sem deixar rastros tradicionais no sistema de arquivos. Em alguns casos observados, o código chegou a alterar o perfil do firewall, abrindo uma janela para comunicações não filtradas.
