ICS Labs Outbreak Alert - Campanha maliciosa no Brasil envolve a utilização do WhatsApp
- thiagosouza77
- 3 de out.
- 2 min de leitura
Atualizado: 7 de out.
O CTI do ICS Labs confirmou recentemente a circulação no Brasil de uma campanha maliciosa, um ataque altamente sofisticado de phishing via WhatsApp, que tem como objetivo comprometer tanto usuários comuns quanto ambientes corporativos.
Visão geral da ameaça:
Atacantes enviam mensagens pelo WhatsApp fingindo ser parceiros, fornecedores ou contatos confiáveis, anexando um arquivo compactado (.zip) rotulado como recibo ou comprovante. Geralmente o .zip contém um atalho do Windows (.lnk) que, ao ser aberto, dispara uma cadeia de comandos que invoca o PowerShell com payload codificado (Base64), executando o código diretamente na memória sem deixar arquivos maliciosos no disco. O código estabelece um canal de comando e controle (C2) mediante Havoc (framework), permitindo que os criminosos controlem o endpoint, exfiltrando dados e executando ações remotas. As consequências envolvem exposição de credenciais, vazamento de dados sensíveis, movimento lateral em redes internas e possibilidade de implantação de cargas secundárias (ex.: ransomware, stealers).
Pontos de atenção identificados:
Execuções PowerShell: Eventos de script blocks para identificar comandos ofuscados ou fora do padrão.
Criação de processos: Eventos de processo que chamem o powershell.exe com parâmetros como -EncodedCommand ou -w hidden.
Tráfego de rede: Conexões para domínios recém-registrados ou com reputação suspeita, além de requisições HTTP/HTTPS usando o User-Agent padrão do .NET WebClient.
As ações de recomendações:
Bloqueio preventivo: Domínios e IPs conhecidos da campanha em firewalls, proxies e filtros de DNS.
Conter hosts comprometidos: retirar da rede qualquer máquina com sinais de atividade maliciosa; quando possível, coletar memória antes de reinicializar para preservar evidências.
Conscientização rápida: orientar usuários a não abrir anexos compactados ou atalhos recebidos via WhatsApp, confirmar qualquer informação apenas pelos canais de comunicação internos homologados.
Medidas de fortalecimento e Prevenção:
PowerShell seguro: habilitar Script Block Logging e Module Logging; aplicar Constrained Language Mode para contas não administrativas.
Políticas de execução: usar AppLocker/WDAC para bloquear scripts e binários não autorizados.
Reduzir superfície de ataque: desativar o PowerShell v2 e configurar alertas específicos para tráfego a domínios recém-criados.
IOCs:
INDICADORES | TIPO |
109[.]176[.]30[.]141 23[.]227[.]203[.]148 | IP |
zapgrande[.]com sorvetenopote[.]com expansiveuser[.]com ogoampoodopet[.]com whatsappenrolling[.]com whatsappu[.]com onlywhatsapps[.]com | Domínios |
Chamadas HTTP(S) para caminhos como /api/itbi/; Conexões originadas por processos comumente usados no Windows; Padrões de PowerShell com -EncodedCommand e execução invisível (-w hidden). | Sinais de Rede/Host |
Atenção: Os links e endereços IP mencionados acima podem ainda estar ativos. Tenha cautela ao manusear e não acesse diretamente para evitar exposição a conteúdo malicioso.
Comentários