Alerta de Segurança: Campanha de Phishing via WhatsApp Web Distribui Malware Coyote
4 min de leitura
O cenário de cibersegurança continua evoluindo rapidamente, com novas técnicas de ataque surgindo para explorar brechas em ferramentas amplamente utilizadas.
Este boletim apresenta um alerta urgente sobre uma Campanha de Phishing via WhatsApp Web, destacando seus riscos, impactos e as principais ações recomendadas para garantir a segurança operacional e financeira das organizações.
Visão Geral da Ameaça
Foi identificado um novo ataque de phishing que utiliza o WhatsApp Web como vetor para comprometer estações de trabalho. O ataque tem se destacado por sua alta taxa de propagação e pela capacidade de contornar soluções antivírus tradicionais. Paralelamente, amostras analisadas mostram associação com a família de malware Coyote, reforçando o risco financeiro e a sofisticação técnica do vetor.
Novo ataque utiliza o WhatsApp Web para comprometer dados sensíveis e acelerar a disseminação dentro das organizações.
Resumo Executivo
Ataque de phishing via WhatsApp Web distribuindo arquivos .zip contendo atalhos maliciosos (.lnk). Ao abrir o atalho, é disparada uma cadeia de execução que carrega em memória um malware da família Coyote, projetado para roubo de credenciais e persistência via extensões de navegador.
A combinação de engenharia social com técnicas de evasão avançada (execução em memória e abuso de mecanismos de acessibilidade) torna o incidente de alto risco para ambientes que processam dados financeiros.
Recomendação UPX: revisar imediatamente as políticas de uso do WhatsApp Web, bloquear anexos compactados não solicitados e implantar EDR com análise comportamental.
Detalhes Técnicos do Ataque (WhatsApp Web)
Vetor Inicial
- Arquivo
.zipenviado via WhatsApp Web. - Frequentemente rotulado como “comprovante de pagamento” ou documento urgente.
Veja como a campanha de phishing está se disseminando pelo serviço de mensagens:
Risco Técnico
O arquivo .zip contém um atalho (.lnk) que, quando executado, dispara comandos via PowerShell/NTExec para baixar e instanciar payloads diretamente na memória.
Payload Observado
- Família Coyote (banking trojan / RAT)
- Foco em roubo de credenciais financeiras
- Cadeia multi-estágio (loaders como Squirrel)
- Execução em memória
- Técnicas de evasão e persistência
Escala de Propagação
O malware pode:
- Instalar extensões maliciosas no navegador;
- Explorar sessões ativas do WhatsApp Web;
- Reenviar automaticamente a isca para contatos, acelerando a infecção.
TTPs Observadas (MITRE-Style Summary)
- Initial Access: Spearphishing via WhatsApp Web com arquivos compactados.
- Execution:
.lnk→ PowerShell execution com bypass para execução em memória. - Persistence: Instalação/abuso de extensões de navegador e loaders.
- Credential Access: Captura de credenciais via inspeção de UI e exfiltração via C2.
- Defense Evasion: Execução em memória e técnicas de UI Automation para evitar rastros tradicionais.
Indicadores e Assinaturas (IOC — Conceitual)
Nota: IOCs comportamentais observados — sem exposição de hashes/domínios específicos.
Padrões Técnicos Suspeitos
- Arquivos
.zipcontendo.lnkcom argumentos PowerShell:
-ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -EncodedCommand ...
- PowerShell invocando downloads de scripts para URLs não autorizadas;
- Processos iniciados por
explorer.exevia atalhos.lnkcom comandos incomuns; - Uso de Squirrel como loader em cadeias de instalação atípicas;
- Extensões de navegador recém-instaladas com permissões amplas;
- Comportamentos suspeitos de UI Automation (leitura de elementos de interfaces financeiras).
Impact Mapping — Riscos Específicos
- Operacional: Comprometimento de estações de trabalho e movimentação lateral;
- Financeiro: Furto de credenciais bancárias e movimentações fraudulentas;
- Regulatório: Exposição de dados sensíveis com possíveis implicações legais.
Recomendações Técnicas e Operacionais
Imediatas (0–48h)
- Bloquear ou examinar anexos
.zip/.rarnas portas de entrada (proxy, e-mail, gateways); - Implementar EDR/NGAV com detecção comportamental;
- Monitorar execuções PowerShell com
-EncodedCommande-ExecutionPolicy Bypass; - Alertar usuários e iniciar campanha urgente de conscientização.
Curto Prazo (48h–7 dias)
- Inspecionar e remover extensões de navegador não autorizadas;
- Monitorar criação de extensões CRX;
- Aplicar allowlists de domínios e bloquear downloads de fontes não confiáveis.
Médio Prazo (1–4 semanas)
- Restringir o uso do WhatsApp Web em ambientes críticos;
- Revisar políticas de acessibilidade e UI Automation;
- Executar simulações de phishing com foco em
.zip/.lnk.
Conclusão
A combinação de engenharia social via WhatsApp Web com técnicas avançadas associadas à família Coyote eleva este incidente ao patamar de alto risco para organizações que operam com ativos financeiros.
A mitigação exige:
- Ações imediatas de bloqueio e monitoramento;
- Fortalecimento tecnológico (EDR, allowlists, inspeção comportamental);
- Treinamento contínuo de usuários;
- Governança operacional madura.
A UPX é referência em cibersegurança com mais de 20 anos de atuação, especializada em Proteção de Borda, Segurança Gerenciada com Inteligência Artificial e Observabilidade.
Continue lendo
UPX
DDoSManaged Security ServicesSOCCyber Threat Intelligence
AI-Driven Cyber Attacks: Como a IA Está Redefinindo os SOCs
Descubra como ataques cibernéticos movidos por IA estão pressionando SOCs tradicionais e por que a Defensive AI é essencial para reduzir o MTTR.
Ler mais →
DDoS
DDoS por Reflexão TCP SYN-ACK: Como Funciona e Como Mitigar
Entenda o ataque DDoS por reflexão TCP SYN-ACK, como ele explora o handshake do TCP para gerar alto PPS e exaustão de estado, e quais estratégias de mitigação funcionam em redes modernas.
Ler mais →