Nos dias 30 de setembro e 1° de outubro, tivemos detecções juntamente com reports de envios massivos de mensagens a diversos usuários do WhatsApp no Brasil. As mensagens induziam os destinatários a abrirem, via WhatsApp Web ou aplicativo para desktop, um arquivo ZIP anexado. Inicialmente, havia divulgação restrita dos incidentes, com poucos indicadores ligados a dois domínios principais: zapgrande[.]com e sorvetenopote[.]com.
Com o acúmulo de evidências, identificamos um comportamento compatível com um worm. Ao infectar a vítima, o mecanismo aproveitava a lista de contatos no aplicativo para reenviar a mesma mensagem e o mesmo anexo para mais pessoas. Esse padrão de propagação facilitou uma disseminação acelerada nas primeiras 24 horas do ocorrido.
No momento da infecção, ao clicar no anexo, observamos a execução de um comando PowerShell codificado que realizava um download e execução em memória (técnica fileless). Tudo isso a partir de infraestrutura hospedada em um dos domínios associados.
Em paralelo, outro comando PowerShell detectado buscava criar exclusões no mecanismo de proteção do host (Microsoft Defender). O procedimento consistia em adicionar um processo à lista de exclusão do antivírus, o que indica tentativa explícita de redução da visibilidade por parte das defesas locais.
A resposta da equipe de CTI da iT.eam aos ataques ao WhatsApp
Com as primeiras detecções, a equipe de Cyber Threat Intelligence (CTI) da iT.eam iniciou procedimentos preventivos imediatos:
- Criação e deploy de regras no SIEM e nas ferramentas de segurança para capturar os IOCs conhecidos
- Bloqueio de domínios e URLs maliciosos
- Pivotagem contínua para identificar domínios e infraestrutura adicionais conectados aos atacantes
Esse trabalho alimentou nossas regras e listas de referência, ampliando o alcance das detecções e permitindo correlações mais robustas.
Análise técnica do comportamento
Durante a execução maliciosa, observou-se a criação de um arquivo BAT na pasta de inicialização do usuário, sem modificações persistentes aparentes nas chaves de registro do sistema. Junto a esse BAT, foram adicionados múltiplos scripts JavaScript que atuavam da seguinte forma no contexto do WhatsApp Web:
- O malware verificava sessões ativas
- Fazia o envio recorrente do anexo para os contatos da sessão
- Mantinha comunicação regular com o domínio zapgrande[.]com
O domínio funcionou como servidor de comando e controle (C2), conforme evidenciado por captura de tráfego durante a análise de rede.
Apesar da propagação ampla, o comportamento do worm mostrou-se relativamente simples do ponto de vista técnico, reforçando um ponto crítico: a engenharia social e a curiosidade do usuário permanecem vetores decisivos. Mesmo malwares de baixa sofisticação podem causar impacto significativo se ancorados em listas de contatos reais e em campanhas de engenharia social bem direcionadas.
Táticas, técnicas e procedimentos (TTPs) identificados nos ataques ao WhatsApp
Seguem abaixo algumas TTPs desta ameaça:
- Initial Acess: TA0001
Phishing: T1566 - Execution: TA0002
Command and Scripting Interpreter: PowerShell: T1059.001 - Defense Evasion: TA0005
Obfuscated Files or Information: Command Obfuscation: T1027 - Command and Control (C2): TA0011
A importância de uma CTI madura
É comum supor que campanhas desse tipo iniciem por buscas aleatórias de números. Contudo, a investigação conduzida pela equipe de CTI da iT.eam revelou um padrão mais sofisticado e oportunista.
Ao longo de setembro de 2025, houve um aumento expressivo na oferta e divulgação de bases de dados de clientes brasileiros. Amostras gratuitas contendo entre 1.000 e 5.000 registros eram frequentemente divulgadas em fóruns e grupos.
Muitos desses vazamentos foram atribuídos, direta ou indiretamente, a atores que operam em fóruns de idioma russo, tanto na clearnet quanto em espaços mais fechados da dark web e em canais do Telegram. A partir dessas bases, atores maliciosos podem extrair listas de números de telefone, e-mails e outros metadados valiosos para campanhas direcionadas, o que facilita o sucesso de esquemas de phishing e worms propagativos.
A investigação deste incidente deixa clara a importância estratégica de uma função de Cyber Threat Intelligence madura e integrada. A CTI não atua apenas como repositório de IOCs; ela transforma sinais dispersos em contexto acionável, permite priorização inteligente de respostas e reduz o tempo entre detecção e contenção. No caso específico dos ataques ao WhatsApp ocorridos a partir de 30/09/2025, a atuação integrada de coleta, análise e disseminação de inteligência foi determinante para mitigar impactos.
Quer proteger sua organização contra ataques como os que ocorreram ao WhatsApp? Entre em contato com nossos especialistas para conhecer o trabalho realizado pela equipe de CTI da iT.eam!
