.png)
há 5 dias
13
A equipe de inteligência da Solo Iron realizou engenharia reversa e detalhou o modus operandi de um ataque fileless disseminado via WhatsApp, denominado WhatsApp Spray. O grupo criminoso distribuiu arquivos compactados contendo atalhos (.lnk) maliciosos que, ao serem executados, acionam o cmd.exe e depois o powershell.exe para rodar um comando ofuscado em Base64. Esse comando baixa e executa um assembly .NET diretamente na memória, sem gravar nada no disco, tornando o ataque difícil de detectar por soluções tradicionais.
Leia também
Falha no GitHub Copilot Chat
Patch Tuesday: Fortinet e Ivanti corrigem vulnerabilidades
A investigação revelou que os criminosos operam um painel administrativo com alto grau de automação e escala, controlando envio de arquivos, mapeando números de telefone e monitorando o sucesso das infecções, evidenciando uma campanha estruturada e profissional. O ambiente da operação foi acessado pela própria equipe de inteligência, que visualizou métricas e coletou amostras dos payloads, além de indicadores para aprimorar defesa empresarial.
O ataque permite ao malware agir em etapas furtivas, como a enumeração de dispositivos, levantamento de processos, tentativa de elevação de privilégios e manipulação de regras de firewall, tudo diretamente na memória e sem deixar rastros tradicionais. O painel do criminoso registra taxas de entrega e desempenho, além da automação na geração de links e arquivos maliciosos, consolidando um ecossistema de mensageria integrada a infraestrutura de bots e múltiplos domínios ligados à campanha.
Essas evidências reforçam a necessidade de atualização das defesas, priorizando detecção comportamental e resposta rápida frente a ataques que não dependem de gravação de arquivos ou assinatura estática.
English (US) · 
Portuguese (BR) ·