Pesquisadores da Counter Threat Unit™ (CTU) estão investigando múltiplos incidentes relacionados a uma campanha em andamento que tem como alvo usuários da plataforma de mensagens WhatsApp.
A campanha, que começou em 29 de setembro de 2025, está focada no Brasil e busca enganar os usuários para que executem um arquivo malicioso anexado a uma mensagem autoespalhável recebida de uma sessão do WhatsApp Web previamente infectada. Se executado, o verme tenta se replicar para os contatos do WhatsApp da vítima e instalar um trojan bancário desenvolvido especificamente para bancos brasileiros e corretoras de criptomoedas.
Em um dos incidentes observados pelos analistas da Sophos, um usuário fez o download de um arquivo ZIP por meio da versão web da plataforma de mensagens WhatsApp. Relatos de terceiros sobre atividades semelhantes revelam que o arquivo compactado estava anexado a uma mensagem do WhatsApp proveniente de um contato conhecido. A mensagem afirmava que o conteúdo só poderia ser visualizado em um computador (veja a Figura 1), uma tática usada para garantir que o destinatário abrisse o arquivo em um computador desktop, e não em um dispositivo móvel. O arquivo ZIP continha um arquivo malicioso LNK do Windows que, ao ser executado, iniciava uma sequência de comandos maliciosos do PowerShell.
Figura 1. Mensagem do WhatsApp enviada a partir de um contato infectado (à esquerda, fonte: X.com), com tradução (à direita).
O campo target (destino) do arquivo LNK continha um comando do Windows ofuscado, responsável por construir e executar um comando PowerShell codificado em Base64. O comando PowerShell de primeira fase era executado de forma oculta, iniciando um processo do Explorer que fazia o download do comando PowerShell da próxima etapa a partir de um servidor remoto de comando e controle (C2) hospedado em hxxps://www.zapgrande[.]com (veja a Figura 2).
Figura 2. Comando PowerShell de primeira fase iniciado a partir de um arquivo LNK malicioso. (Fonte: Sophos)
O comando PowerShell de segunda fase, baixado do servidor remoto, tentou modificar controles de segurança locais. Nos comentários do próprio script PowerShell — escritos em português — o autor deixou explícitos seus objetivos de evasão de defesa, incluindo: “adicionar uma exclusão no Microsoft Defender” e “desativar o UAC” (veja a Figura 3).
Figura 3. Comando PowerShell de segunda fase tenta desabilitar defesas de segurança. (Fonte: Sophos)
Até o momento desta publicação, a Sophos detectou atividade de PowerShell de primeira fase em mais de 400 ambientes de clientes, abrangendo mais de 1.000 endpoints. Os arquivos ZIP utilizados na campanha seguem diversos padrões de nomenclatura, incluindo: NEW-20251001_150505-XXX_XXXXXXX.zip ORCAMENTO_XXXXXXX.zip COMPROVANTE_20251002_XXXXXXX.zip. As palavras “Orçamento” e “Comprovante” correspondem às traduções em português de “Budget” e “Voucher”, respectivamente. Foram observados três domínios C2 exclusivos, e em cinco infecções foi identificado um payload adicional: a ferramenta legítima de automação de navegador Selenium, que permitia o controle de sessões de navegador ativas no host infectado.
A análise da Sophos sobre os casos envolvendo Selenium ainda está em andamento, mas as etapas iniciais da infecção e a presença do payload Selenium estão alinhadas com relatórios de terceiros que descrevem a mesma campanha distribuindo dois possíveis payloads para endpoints infectados: uma instância do Selenium acompanhada de um ChromeDriver correspondente, e um trojan bancário denominado Maverick. Ambos os payloads foram entregues pela mesma infraestrutura C2 e apenas para hosts que passaram por um conjunto de verificações anti-análise. O implante Maverick monitorava sessões de navegador ativas em busca de conexões com URLs associadas a bancos brasileiros e corretoras de criptomoedas. Quando o tráfego correspondia a um domínio financeiro alvo, era instalado um trojan bancário adicional em .NET, com múltiplos recursos e funcionalidades avançadas.
Os pesquisadores da Sophos também estão investigando possíveis vínculos entre a campanha atual e séries anteriores de campanhas que distribuíam um trojan bancário chamado Coyote, voltadas para usuários brasileiros. O Coyote foi relatado pela primeira vez em fevereiro de 2024 e era distribuído como um atualizador de aplicativo Windows construído com o utilitário Squirrel. Em janeiro de 2025, agentes de ameaça utilizaram arquivos LNK maliciosos para iniciar uma cadeia de infecção em várias etapas via PowerShell, que comprometia os hosts com payloads do Coyote gerados com a ferramenta Donut de criação de shellcode. Um relatório de maio de 2025 tentou associar as campanhas anteriores do malware Coyote ao trojan bancário Coyote distribuído por mensagens do WhatsApp Web em janeiro do mesmo ano. Nenhuma das infecções observadas pela Sophos durante a campanha de setembro de 2025 resultou na entrega de um trojan bancário, mas os poucos casos envolvendo Selenium provavelmente levaram ao sequestro de sessões do WhatsApp Web e à autopropagação (veja a Figura 4). Os pesquisadores da Sophos estão trabalhando para determinar de forma independente se o Maverick é uma evolução do Coyote.
Figura 4. Cadeia de infecção entregando o payload Selenium. (Fonte: Sophos)
Os pesquisadores da Counter Threat Unit™ (CTU) recomendam que as organizações eduquem seus funcionários sobre os riscos de abrir anexos suspeitos enviados por plataformas de mídia social e mensagens instantâneas, mesmo que recebidos de contatos conhecidos. Uma resposta rápida a detecções de execução suspeita do PowerShell pode conter infecções ainda nos estágios iniciais da cadeia de ataque (kill chain).
Os indicadores de ameaça na Tabela 1 podem ser utilizados para detectar atividades relacionadas a essa ameaça. Os domínios listados podem conter conteúdo malicioso — portanto, é necessário avaliar os riscos antes de abri-los em um navegador.
| Indicator | Type | Context |
| expansiveuser . com | Domain
name |
C2 server used in WhatsApp worm campaign |
| zapgrande . com | Domain
name |
C2 server used in WhatsApp worm campaign |
| sorvetenopote . com | Domain
name |
C2 server used in WhatsApp worm campaign |
Tabela 1. Indicadores dessa ameaça
Casos de Sophos MDR (Managed Detection and Response) que geraram detecções associadas a essa ameaça estão descritos na Tabela 2.
| Nome | Descrição |
| WIN-EXE-PRC-POWERSHELL-WITH-BASE64-START-1 | Detects suspicious PowerShell process with command line with start of
suspicious Base64 encoded commands |
| WIN-EXE-PRC-POWERSHELL-WITH-BASE64-START-1-SUSP-PARENT | Detects suspicious PowerShell process with command line with start of
suspicious Base64 encoded commands spawning from a suspicious parent |
| WIN-PRI-EXE-SUSP-7ZIP-SUBPROCESS-1 | Identifies suspicious processes spawning from 7zip, including cmd.exe and powershell.exe, that could indicate the attempted exploitation of CVE-2022-29072 |
Tabela 2. Detecções Sophos MDR que cobrem essa ameaça
Referências
https://x.com/dilacer8/status/1973474128557646271
https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
https://www.fortinet.com/blog/threat-research/coyote-banking-trojan-a-stealthy-attack-via-lnk-files
