Pesquisadores brasileiros da equipe de inteligência cibernética da Solo Iron identificaram e reverteram uma campanha organizada de engenharia social que utiliza o WhatsApp como vetor de entrega para um malware fileless, internamente chamado WhatsApp Spray. O relatório técnico divulgado descreve a cadeia de ataque, desde o envio de arquivos aparentemente legítimos até a execução de código em memória, e traz indicadores acionáveis, regras de detecção e recomendações de contenção para ambientes corporativos.
Operação profissionalizada, painel de controle e escala
A operação de disseminação era mensurada pelos criminosos por meio de um dashboard, onde foram encontradas ferramentas de gestão da campanha, geração automatizada de nomes de arquivos maliciosos, painel estatístico com métricas de entrega como total de envios e taxas de sucesso e controle da distribuição de URLs para download dos payloads. “Esses artefatos apontam para uma operação profissionalizada, com mecanismos de mensageria em larga escala e infraestrutura pública de bots ligada a múltiplos domínios e IPs”, explica Felipe Guimarães, CISO da Solo Iron. O padrão observado de TTL uniforme entre recursos forneceu correlações adicionais entre componentes da infraestrutura maliciosa.
A investigação aponta que a campanha iniciou em 1º de outubro e mostrou alto nível de automação, com painel de controle e uma base de números de telefone utilizada para distribuição massiva.
Coleta de inteligência e engenharia reversa
A equipe da Solo Iron relata que chegou a comprometer o ambiente dos próprios servidores dos criminosos, conduzindo uma operação de coleta de inteligência para mapear variantes e entender a cadeia do ataque. “Nossa equipe chegou a comprometer o ambiente dos próprios servidores dos criminosos, conduzindo uma operação de coleta de inteligência sem precedentes para mapear as variantes envolvidas e entender toda a cadeia do ataque”, explica Felipe Guimarães, CISO da Solo Iron. “Fizemos um trabalho bem aprofundado de engenharia reversa”, completa.
A análise técnica da Threat Intelligence explorou artefatos de endpoints e a infraestrutura pública do operador, incluindo a exploração de vulnerabilidades em um dos domínios investigados, o que permitiu acessar o painel administrativo usado para distribuir os payloads. A exploração controlada validou domínios e IPs associados e coletou métricas operacionais que fundamentam as recomendações do relatório.
Vetor, técnica e difícil detecção
A campanha começa com o envio de arquivos compactados, .zip, via WhatsApp, cujo conteúdo aparenta ser comprovantes bancários ou documentos financeiros. Dentro do .zip há um atalho malicioso que, ao ser executado, aciona o cmd.exe com uma string específica que invoca o powershell.exe para executar uma linha de comando ofuscada em Base64. Esse comando baixa um script remoto que carrega um assembly .NET diretamente na memória por meio de Assembly.Load, sem gravar artefatos no disco, comportamento típico de malwares fileless que dificulta a detecção por soluções baseadas apenas em assinatura.
A execução em memória permite enumeração de dispositivos de armazenamento, levantamento de processos ativos, tentativas de elevação de privilégios e alteração de regras de firewall para permitir tráfego, tudo sem deixar rastros tradicionais no sistema de arquivos. Em alguns casos, o código chegou a alterar o perfil do firewall, abrindo uma janela para comunicações não filtradas.
O relatório completo, disponível no blog da Solo Iron, inclui a cadeia de ataque detalhada, código de exemplo do payload, capturas de processos .NET carregados em memória, indicadores de comprometimento e ferramentas de detecção propostas. As recomendações práticas visam detecção em memória, monitoração de comandos PowerShell ofuscados, correlação de logs de mensageria com endpoints e ações de contenção para reduzir o impacto em ambientes corporativos.
