Pesquisadores da Counter Threat Unit™ (CTU) estão investigando diversos incidentes em uma campanha em andamento que tem como alvo usuários da plataforma de mensagens WhatsApp. A ameaça, que começou em 29 de setembro de 2025, tem como foco o Brasil e busca induzir os usuários a executar um arquivo malicioso, anexado a uma mensagem de autopropagação, recebida de uma sessão do WhatsApp Web previamente infectada. Se executado, o worm tenta se replicar nos contatos da vítima e instalar um trojan bancário, desenvolvido especialmente para bancos e corretoras de criptomoedas brasileiras.
Em um incidente observado por analistas da Sophos, um usuário baixou um arquivo ZIP por meio da versão web do WhatsApp. Relatos de terceiros sobre atividades semelhantes revelam que o arquivo estava anexado a uma mensagem originada de um contato conhecido, o qual afirmava que o anexo só poderia ser visualizado em um computador (Figura 1) – uma estratégia para garantir que o destinatário abra o arquivo em um desktop em vez de um dispositivo móvel. No conteúdo, havia um arquivo LNK malicioso do Windows que, ao ser executado, iniciava uma série de comandos maliciosos do PowerShell.
O campo de destino do arquivo LNK continha um comando ofuscado do Windows, projetado para criar e executar um script do PowerShell codificado em Base64. Assim, se iniciou secretamente um processo do Explorer, que fez o download do próximo estágio do PowerShell a partir de um servidor remoto (C2), hospedado em hxxps://www.zapgrande[.]com
O comando de segundo estágio do PowerShell baixado tentou modificar os controles de segurança locais. Comentários escritos em português mostram explicitamente os objetivos de evasão de defesa do autor: “adicionar uma exclusão no Microsoft Defender” e “desabilitar o UAC”.
Figura 3. O segundo estágio do PowerShell visa desabilitar as defesas de segurança. (Fonte: Sophos)
Até o momento desta publicação, a Sophos detectou atividade de primeiro estágio do PowerShell em mais de 400 ambientes de clientes e em mais de 1 mil endpoints. Os arquivos compactados seguem diversos padrões de nomenclatura, incluindo NEW-20251001_150505-XXX_
A análise dos casos de Selenium pela Sophos está em andamento, mas os estágios iniciais do ataque e a presença do payload se alinham com relatórios de terceiros que descrevem a mesma campanha, entregando dois payloads possíveis para endpoints infectados: uma instância do Selenium com um ChromeDriver correspondente e um trojan bancário chamado Maverick. Ambos foram entregues pela mesma infraestrutura C2 e apenas para hosts que passaram por um conjunto de verificações anti análise. A implementação do Maverick monitorou sessões ativas do navegador em busca de conexões com uma lista de URLs associadas a bancos e exchanges de criptomoedas brasileiras. Quando o tráfego correspondia a um domínio financeiro como alvo, um trojan bancário .NET, rico em recursos, era instalado.
Pesquisadores da Sophos também estão investigando possíveis ligações entre a campanha em andamento e uma série de outras relatadas anteriormente, que distribuíram um trojan bancário chamado Coyote, visando usuários no Brasil. O vírus foi relatado pela primeira vez em fevereiro de 2024 e foi distribuído como um atualizador de aplicativos do Windows, criado usando o utilitário Squirrel. Em janeiro de 2025, os agentes de ameaças usaram arquivos LNK maliciosos para iniciar uma cadeia de infecção do PowerShell em vários estágios, o que atingiu hosts com payloads do Coyote criados com a ferramenta de geração de shellcode Donut.
Um relatório de maio de 2025 tentou vincular campanhas anteriores de malware Coyote com o trojan bancário homônimo sendo distribuído via mensagens do WhatsApp Web em janeiro. Nenhum dos ataques observados pela Sophos em setembro resultou na entrega de um payload de trojan bancário. No entanto, os poucos casos que envolveram Selenium apontam para sequestro de sessões do WhatsApp Web e possível autopropagação(Figura 4). Os pesquisadores da empresa estão trabalhando para identificar de forma independente se o Maverick é uma evolução do Coyote.
Figura 4. Cadeia de infecção que entrega a carga útil do Selenium. (Fonte: Sophos)
Pesquisadores da CTU™ recomendam que as organizações eduquem os funcionários sobre os riscos de abrir anexos suspeitos enviados por redes sociais e plataformas de mensagens instantâneas, mesmo que sejam de contatos conhecidos. Uma resposta rápida à detecção de execuções suspeitas do PowerShell pode conter ameaças nos estágios iniciais da cadeia de destruição.
Os indicadores da Tabela 1 (abaixo) podem ser usados para detectar atividades relacionadas a essa ameaça. Os domínios podem carregar conteúdo malicioso, portanto, é fundamental ter muita atenção aos possíveis riscos antes de abri-los em um navegador.
