Uma campanha altamente sofisticada de phishing via WhatsApp já está comprometendo ambientes corporativos e usuários do aplicativo, explorando a confiança no mensageiro mais utilizado do país para introduzir um malware avançado, invisível às defesas tradicionais, com alvo tanto em pessoas quanto em organizações.
Batizado de “WhatsApp Havoc”, o ataque começa com mensagens que se apresentam como contatos legítimos ou fornecedores e enviam supostos comprovantes de pagamento em arquivos .zip.
Ao abrir o arquivo, a vítima aciona um atalho (.lnk) que executa comandos PowerShell ofuscados, instalando silenciosamente um canal de Comando e Controle (C2) vinculado ao framework Havoc – uma ferramenta que pode conceder controle total sobre o dispositivo comprometido.
Trata-se de uma ameaça ativa, em circulação no Brasil, com risco direto a dados financeiros, credenciais, informações pessoais, fotos e até operações críticas de empresas
Como o ataque funciona:
- Acesso inicial: As mensagens chegam pelo WhatsApp fingindo ser fornecedores, clientes ou contatos conhecidos. O texto é convincente e direcionado (spearphishing): usa o nome da vítima, referências a transações e números que parecem legítimos, reduzindo a suspeita e incentivando o clique.
- Isca: A mensagem traz um .zip rotulado como “comprovante de pagamento” ou documento financeiro. Dentro do .zip há um atalho (.lnk) que parece inofensivo, mas quando aberto dispara uma cadeia de execução ofuscada.
- Execução – O .lnk executa uma linha de comando que invoca cmd.exe e, em sequência, powershell.exe com -EncodedCommand (Base64). O payload roda em memória (fileless), sem gravar executáveis no disco, o que reduz drasticamente a chance de detecção por antivírus baseados em assinatura.
- Execução discreta e evasiva: O ataque roda em memória (funciona “na memória” do sistema) e usa ferramentas já presentes no Windows para executar as ordens. Isso dificulta a detecção por soluções tradicionais que procuram arquivos maliciosos no disco.
Nota técnica (para SOC/TI), termos e ações práticas:
- Termos: fileless execution, Living off the Land (LoL), EncodedCommand (-enc / Base64), IEX, Script Block Logging.
- O que procurar em logs: chamadas ao powershell.exe com -EncodedCommand ou IEX, processos filhos inesperados (ex.: outlook.exe → cmd.exe → powershell.exe), eventos PowerShell (ID 4104), criação de processo Windows (ID 4688).
- Contenção imediata: bloquear processos suspeitos, isolar host afetado, coletar memória para análise (se possível) antes de reiniciar.
- Mitigação: habilitar Script Block Logging e Module Logging no PowerShell, aplicar Constrained Language Mode para usuários sem necessidade administrativa, bloquear PowerShell v2 e controlar execução via AppLocker/WDAC.
- Comando & Controle (C2): Depois de ser ativado, o código tenta se conectar a servidores controlados pelos criminosos (domínios e IPs suspeitos). Esses servidores enviam “ordens” ao malware, baixar novos componentes, enviar dados roubados ou executar comandos remotos. Com um C2 ativo, o atacante pode se mover lateralmente, colher credenciais, monitorar atividades e preparar ataques, tudo sem interação adicional do usuário.
- Impacto final: Com o C2 ativo, os atacantes podem: roubar credenciais (bancos, e-mail, SSO) e tokens de sessão; monitorar a atividade do usuário em tempo real (keylogging, captura de telas); explorar credenciais obtidas para comprometer servidores e estações na rede e implantar cargas secundárias (ransomware, stealers, backdoors) em escala.
Infraestrutura maliciosa identificada
A investigação OSINT da Danresa, revelou que os criminosos utilizam domínios registrados recentemente e hospedagem em provedores na Holanda e nos EUA, explorando anonimato e reputação de nuvens comerciais.
Domínios:
- zapgrande.com
- sorvetenopote.com
- expansiveuser.com
- ogoampoodopet.com
- whatsappenrolling.com, whatsappu.com, onlywhatsapps.com, entre outros.
IPs associados:
- 109.176.30.141 (HOSTKEY B.V. – Holanda)
- 23.227.203.148 (Vultr – EUA)
Um detalhe estratégico: o domínio zapgrande.com utiliza o caminho /api/itbi/, simulando serviços municipais brasileiros, reforçando a sofisticação local do ataque.
Mapeamento ao MITRE ATT&CK® e Indicadores de Comprometimento (IoCs)
A campanha está alinhada a múltiplas técnicas do framework MITRE, como:
- T1059.001 – PowerShell Execution
- T1027 – Obfuscation
- T1105 – Ingress Tool Transfer
- T1566.001 – Spearphishing Attachment (via WhatsApp)
- T1204.002 – User Execution (malicious file)
Além disso, acompanhe os IoCs:
- Domínios maliciosos:com, sorvetenopote.com, expansiveuser.com, ogoampoodopet.com, whatsappenrolling.com, whatsappu.com, whatsappenerp.com, onlywhatsapps.com, hats-whatsapp.com, n8nwhatsapp.org, lie-whatsapp.com, whatsappez.cc, whatsappbrasil.com, whatsapp-labs.com, wap-whatsap.com, w9d-whatsapp.net
- IPs: 109.176.30.141, 23.227.203.148.
- Padrões de rede: tráfego HTTP/HTTPS para /api/itbi/; conexões de powershell.exe com User-Agent padrão do .NET WebClient.
- Padrões de host: PowerShell com parâmetros -enc, -w hidden. Cadeia de processos suspeita: outlook.exe → cmd.exe → powershell.exe.
Veja nossas recomendações estratégicas:
Ações imediatas (contenção):
- Bloqueio de infraestrutura: incluir domínios e IPs listados em firewalls, proxies e DNS (sinkholing).
- Isolamento de hosts suspeitos: qualquer máquina com sinais de atividade deve ser retirada da rede.
- Threat Hunting retroativo: revisar logs de PowerShell (ID 4104), criação de processos (ID 4688) e tráfego HTTP dos últimos 90 dias.
- Não abra arquivos .zip recebidos pelo WhatsApp, mesmo que pareçam vir de contatos conhecidos.
- Confirme sempre comprovantes e solicitações financeiras diretamente pelos canais oficiais (telefone, site ou app).
- Mantenha o celular atualizado e com antivírus confiável.
- Em caso de dúvida, não clique: apague a mensagem e comunique o incidente à sua empresa ou banco.
Medidas de fortalecimento:
- Controle do PowerShell: ativar Constrained Language Mode e bloquear versões antigas.
- Políticas de aplicação: AppLocker/WDAC para impedir execução de scripts não confiáveis.
- Monitoramento de rede: alertas para User-Agents suspeitos e domínios recém-registrados.
Pessoas e processos:
- Conscientização imediata: orientar equipes a não abrir arquivos .zip ou .lnk via WhatsApp.
- Políticas de verificação: validar qualquer comprovante financeiro em canais oficiais.
- Atualização de playbooks: incluir cenários de ataques fileless e mensageria instantânea.
Fique em alerta! Proteja seu WhatsApp
O WhatsApp Havoc não distingue alvos: pode atingir desde o usuário comum que recebe um “comprovante de pagamento” até empresas que dependem da agilidade em suas operações financeiras.
Essa combinação torna a campanha uma das ameaças mais perigosas já vistas no Brasil, pois atinge em cheio a confiança que sustenta relações pessoais e corporativas.
Usuários devem redobrar a atenção. Empresas precisam agir imediatamente.
A urgência é máxima: ignorar esse alerta pode custar dados pessoais, senhas corporativas, dinheiro e até a continuidade dos negócios.
Se sua organização identificar mensagens suspeitas ou sinais de comprometimento, acione imediatamente sua equipe de resposta a incidentes ou entre em contato com a Danresa!
Saiba Mais
Últimos Posts
PROMPTFLUX expõe a nova fronteira do cibercrime com IA: malware mutável desafia defesas tradicionais
Leia mais »
0 comentário