Alerta de Segurança: Campanha de Phishing via WhatsApp Web Distribui Malware Coyote


O cenário de cibersegurança continua evoluindo rapidamente, com novas técnicas de ataque surgindo para explorar brechas em ferramentas amplamente utilizadas.
Este boletim apresenta um alerta urgente sobre uma Campanha de Phishing via WhatsApp Web, destacando seus riscos, impactos e as principais ações recomendadas para garantir a segurança operacional e financeira das organizações.
Foi identificado um novo ataque de phishing que utiliza o WhatsApp Web como vetor para comprometer estações de trabalho. O ataque tem se destacado por sua alta taxa de propagação e pela capacidade de contornar soluções antivírus tradicionais. Paralelamente, amostras analisadas mostram associação com a família de malware Coyote, reforçando o risco financeiro e a sofisticação técnica do vetor.
Novo ataque utiliza o WhatsApp Web para comprometer dados sensíveis e acelerar a disseminação dentro das organizações.
Ataque de phishing via WhatsApp Web distribuindo arquivos .zip contendo atalhos maliciosos (.lnk). Ao abrir o atalho, é disparada uma cadeia de execução que carrega em memória um malware da família Coyote, projetado para roubo de credenciais e persistência via extensões de navegador.
A combinação de engenharia social com técnicas de evasão avançada (execução em memória e abuso de mecanismos de acessibilidade) torna o incidente de alto risco para ambientes que processam dados financeiros.
Recomendação UPX: revisar imediatamente as políticas de uso do WhatsApp Web, bloquear anexos compactados não solicitados e implantar EDR com análise comportamental.
.zip enviado via WhatsApp Web.Veja como a campanha de phishing está se disseminando pelo serviço de mensagens:

O arquivo .zip contém um atalho (.lnk) que, quando executado, dispara comandos via PowerShell/NTExec para baixar e instanciar payloads diretamente na memória.
O malware pode:
.lnk → PowerShell execution com bypass para execução em memória.Nota: IOCs comportamentais observados — sem exposição de hashes/domínios específicos.
.zip contendo .lnk com argumentos PowerShell:-ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -EncodedCommand ...
explorer.exe via atalhos .lnk com comandos incomuns;.zip/.rar nas portas de entrada (proxy, e-mail, gateways);-EncodedCommand e -ExecutionPolicy Bypass;.zip/.lnk.A combinação de engenharia social via WhatsApp Web com técnicas avançadas associadas à família Coyote eleva este incidente ao patamar de alto risco para organizações que operam com ativos financeiros.
A mitigação exige:
A UPX é referência em cibersegurança com mais de 20 anos de atuação, especializada em Proteção de Borda, Segurança Gerenciada com Inteligência Artificial e Observabilidade.
Descubra como ataques cibernéticos movidos por IA estão pressionando SOCs tradicionais e por que a Defensive AI é essencial para reduzir o MTTR.

Entenda o ataque DDoS por reflexão TCP SYN-ACK, como ele explora o handshake do TCP para gerar alto PPS e exaustão de estado, e quais estratégias de mitigação funcionam em redes modernas.