A equipe de inteligência cibernética da Solo Iron analisou e reverteu uma campanha de engenharia social que utiliza o WhatsApp para distribuir um malware fileless, apelidado de WhatsApp Spray. O relatório técnico detalha a cadeia de ataque, desde o envio de arquivos legítimos até a execução de código na memória, e oferece indicadores, regras de detecção e recomendações de contenção.
Exploração via mensageria instantânea
A descoberta ganha relevância devido ao aumento da exploração via mensageria instantânea. Essa abordagem tem se mostrado eficaz para operadores que buscam evasão e alcance rápido. A operação identificada pela Solo Iron começou em 1º de outubro, apresentando automação e escala, com painel de controle e base de números para distribuição massiva.
Nossa equipe chegou a comprometer o ambiente dos próprios servidores dos criminosos, conduzindo uma operação de coleta de inteligência sem precedentes para mapear as variantes envolvidas e entender toda a cadeia do ataque. Fizemos um trabalho bem aprofundado de engenharia reversa.
— Felipe Guimarães, CISO da Solo Iron
A análise técnica da Solo Iron explorou artefatos coletados em endpoints e a infraestrutura pública utilizada, acessando o painel administrativo usado para distribuição dos payloads através de vulnerabilidades. Essa exploração controlada permitiu caracterizar a escala da operação, validar domínios e IPs associados, e coletar métricas operacionais que embasam as recomendações do relatório. O material resultante inclui a cadeia de ataque detalhada, código de exemplo do payload, captura de processos .NET carregados em memória e as ferramentas de detecção.
Como o ataque funciona
A campanha se inicia com o envio de arquivos compactados (.zip) via WhatsApp. O conteúdo se disfarça como comprovantes bancários e documentos financeiros. Dentro do .zip, há um atalho malicioso. Ao ser executado, o atalho aciona o cmd.exe com uma string específica que invoca o powershell.exe para executar uma linha de comando ofuscada em Base64. Esse comando baixa um script remoto que carrega um assembly .NET diretamente na memória por meio de Assembly.Load, sem gravar artefatos no disco. Esse comportamento é típico de malwares fileless e dificulta a detecção por soluções baseadas em assinatura.
Além disso, o uso de execução em memória permite ao criminoso realizar diversas etapas. Entre elas, estão a enumeração de dispositivos de armazenamento, levantamento de processos ativos, tentativa de elevação de privilégios e alteração de regras de firewall para permitir tráfego, tudo sem deixar rastros no sistema de arquivos. Em alguns casos, o código altera o perfil do firewall, abrindo uma comunicação não filtrada.
Mensuração do sucesso do ataque
Os criminosos medem toda a operação de disseminação do ataque. Para isso, utilizam um dashboard com ferramentas de gestão da campanha: geração automatizada de nomes de arquivos maliciosos, painel estatístico com métricas de entrega (total de envios, taxas de sucesso/fracasso) e controle da distribuição de URLs para download dos payloads.
Esses artefatos apontam para uma operação profissionalizada, com mecanismos de mensageria em larga escala e infraestrutura pública de bots ligada a múltiplos domínios e IPs.
— Felipe Guimarães, CISO da Solo Iron
O padrão observado de TTL (Time To Live) uniforme entre recursos também forneceu traços de correlação entre os componentes da infraestrutura maliciosa.
O relatório completo está disponível no blog da Solo Iron.
