A SEK identificou uma nova campanha de ataques cibernéticos direcionada a empresas brasileiras através do WhatsApp. Os criminosos utilizam números de telefone aparentemente legítimos para distribuir arquivos maliciosos disfarçados como comprovantes de pagamento, comprometendo a segurança de organizações em diversos setores do país.
A estratégia dos atacantes é sofisticada e explora a confiança estabelecida pela comunicação via WhatsApp. A abordagem começa com uma saudação cordial, seguida pelo nome ou número da pessoa que está recebendo a mensagem, criando aparência de legitimidade. Em seguida, os criminosos enviam um arquivo compactado ZIP acompanhado da mensagem: “Visualização permitida somente em computadores. Caso esteja utilizando o navegador Chrome, poderá ser solicitado para ‘Manter’ o arquivo, por se tratar de um arquivo zipado.” Essa instrução foi elaborada para estimular a curiosidade da vítima e incentivá-la a abrir o arquivo malicioso.
A análise técnica realizada pela SEK revelou que o arquivo contém um atalho com linha de comando ofuscada. Quando executado, abre requisições para domínios maliciosos como: zapgrande[.]com, sorvetenopote[.]com, expansiveuser[.]com, etenopote[.]com, além dos IPs 23[.]227[.]203[.]148 e 109[.]176[.]30[.]141. Essas conexões baixam o payload malicioso, estabelecem persistência e configuram um canal de comando e controle (C2) com o framework Havoc.
O Havoc é uma ferramenta de acesso remoto de código aberto amplamente usada por cibercriminosos por sua versatilidade e capacidade de evasão. Uma vez estabelecido o C2, os atacantes podem capturar credenciais, roubar informações confidenciais, monitorar atividades e usar o sistema como porta de entrada para ataques mais complexos.
O uso de números legítimos de WhatsApp torna a campanha ainda mais perigosa, já que as vítimas podem acreditar que a mensagem vem de fonte confiável. O contexto de comprovantes de pagamento é eficaz no ambiente corporativo brasileiro, onde esse canal é usado com frequência. A SEK analisou campanhas semelhantes envolvendo boletos falsos em seu Boletim de Inteligência: https://links.sek.io/bdi-golpeboletofalso2.
A SEK já adicionou os domínios e endereços IP identificados nesta campanha aos mecanismos de detecção e bloqueio nos ambientes de clientes sob nossa gerência.
Recomendações:
- Estabeleça programas de conscientização contínua sobre ameaças cibernéticas para colaboradores.
- Implemente políticas de verificação rigorosas para arquivos recebidos via mensagens instantâneas.
- Configure soluções antimalware robustas em todos os endpoints.
- Mantenha monitoramento contínuo 24/7 para identificar comportamentos anômalos — o MDR da SEK oferece essa proteção.
- Adote soluções de Threat Intelligence para acompanhar campanhas e indicadores de comprometimento no Brasil.
A SEK permanece à disposição para esclarecer dúvidas, implementar medidas de proteção e responder a incidentes relacionados a esta campanha.
