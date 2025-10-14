I ricercatori della Counter Threat Unit™ (CTU) stanno indagando su diversi incidenti nell’ambito di una campagna in corso che prende di mira gli utenti della piattaforma di messaggistica WhatsApp.

La campagna, iniziata il 29 settembre 2025, è concentrata in Brasile e mira a indurre gli utenti a eseguire un file dannoso allegato a un messaggio autoinoculante ricevuto da una sessione web di WhatsApp precedentemente infetta.

Se eseguito, il worm tenta di replicarsi ai contatti WhatsApp della vittima e installa un trojan bancario progettato specificamente per le banche brasiliane e gli exchange di criptovalute.

In uno degli incidenti osservati dagli analisti di Sophos, un utente ha scaricato un archivio ZIP tramite la versione web della piattaforma di messaggistica WhatsApp.

Segnalazioni di terze parti su attività simili rivelano che l’archivio era allegato a un messaggio WhatsApp proveniente da un contatto conosciuto.

Il messaggio indicava che il contenuto poteva essere visualizzato solo su un computer, uno stratagemma per convincere il destinatario ad aprire il file su un computer desktop invece che su un dispositivo mobile.

L’archivio conteneva un file LNK di Windows dannoso che, una volta avviato, eseguiva una serie di comandi PowerShell malevoli.

