A equipe de inteligência da Solo Iron realizou engenharia reversa e detalhou o modus operandi de um ataque fileless disseminado via WhatsApp, denominado WhatsApp Spray. O grupo criminoso distribuiu arquivos compactados contendo atalhos (.lnk) maliciosos que, ao serem executados, acionam o cmd.exe e depois o powershell.exe para rodar um comando ofuscado em Base64. Esse comando baixa e executa um assembly .NET diretamente na memória, sem gravar nada no disco, tornando o ataque difícil de detectar por soluções tradicionais.
Leia também
Falha no GitHub Copilot Chat
Patch Tuesday: Fortinet e Ivanti corrigem vulnerabilidades
A investigação revelou que os criminosos operam um painel administrativo com alto grau de automação e escala, controlando envio de arquivos, mapeando números de telefone e monitorando o sucesso das infecções, evidenciando uma campanha estruturada e profissional. O ambiente de operação foi acessado pela própria equipe de inteligência, que visualizou estatísticas e coletou amostras de cargas úteis, além de indicadores para aprimorar a defesa empresarial.
Ó ataque permite que o malware atue em etapas furtivas, como enumeração de dispositivos, levantamento de processos, tentativa de elevação de privilégios e manipulação de regras de firewall, tudo diretamente na memória e sem deixar rastros tradicionais. O painel do crime registra taxas de entrega e desempenho, além da automação na geração de links e arquivos maliciosos, consolidando um ecossistema de mensagens integrado a infraestrutura de bots e múltiplos domínios ligados à campanha.
Essas evidências reforçam a necessidade de atualização das defesas, priorizando detecção comportamental e resposta rápida frente a ataques que não dependem de gravação de arquivos ou assinatura estática.
