A equipe de inteligência cibernética da Solo Iron investigou uma campanha de engenharia social que utiliza o WhatsApp para disseminar um malware fileless, chamado WhatsApp Spray. Um relatório técnico detalha a cadeia de ataque, desde o envio de arquivos aparentemente legítimos até a execução de código na memória, e oferece recomendações para ambientes corporativos.
Descoberta de célula online
A relevância da descoberta reside na crescente eficácia da mensageria instantânea como vetor de ataque. A operação, identificada pela Solo Iron, teve início em 1º de outubro, apresentando automação e escala operacional, com painel de controle e base de números de telefone para distribuição massiva.
Nossa equipe chegou a comprometer o ambiente dos próprios servidores dos criminosos, conduzindo uma operação de coleta de inteligência sem precedentes para mapear as variantes envolvidas e entender toda a cadeia do ataque.
— Felipe Guimarães, CISO da Solo Iron
Além disso, Guimarães complementa que foi feito um trabalho aprofundado de engenharia reversa.
Análise técnica e acesso ao painel administrativo
A análise técnica da Solo Iron explorou tanto artefatos coletados em endpoints quanto a infraestrutura pública utilizada pelos operadores. Através de vulnerabilidades em um dos domínios, a equipe acessou o painel administrativo usado para distribuição dos payloads. Essa exploração controlada permitiu caracterizar a escala da operação, validar domínios e IPs associados e coletar métricas operacionais que sustentam as recomendações do relatório. O material resultante inclui a cadeia de ataque detalhada, código de exemplo do payload, captura de processos .NET carregados em memória e as ferramentas de detecção propostas.
Como o ataque funciona
A campanha se inicia com o envio de arquivos compactados (.zip) via WhatsApp, que simulam comprovantes bancários e documentos financeiros. Dentro do .zip, encontra-se um atalho malicioso que, ao ser executado, aciona o cmd.exe com uma string específica. Essa string, por sua vez, invoca o powershell.exe para executar uma linha de comando ofuscada em Base64. Esse comando baixa um script remoto que carrega um assembly .NET diretamente na memória através de Assembly.Load, sem gravar artefatos no disco.
Execução em memória e elevação de privilégios
Essa execução em memória permite ao criminoso realizar diversas ações, como enumeração de dispositivos de armazenamento, levantamento de processos ativos, tentativa de elevação de privilégios e alteração de regras de firewall, sem deixar rastros tradicionais no sistema de arquivos. Em alguns casos, o código chegou a alterar o perfil do firewall, abrindo uma brecha para comunicações não filtradas.
Métricas de sucesso do ataque
Os criminosos monitoram a disseminação do ataque através de um dashboard, que inclui ferramentas de gestão da campanha, geração automatizada de nomes de arquivos maliciosos e um painel estatístico com métricas de entrega, como total de envios e taxas de sucesso/fracasso. Há, ainda, o controle da distribuição de URLs para download dos payloads.
Esses artefatos apontam para uma operação profissionalizada, com mecanismos de mensageria em larga escala e infraestrutura pública de bots ligada a múltiplos domínios e IPs.
— Felipe Guimarães, CISO da Solo Iron
Além disso, o padrão de TTL (Time To Live) uniforme entre recursos forneceu traços adicionais de correlação entre os componentes da infraestrutura maliciosa.
O relatório completo está disponível no blog da Solo Iron.
