WhatsApp Spray: ataque fileless se espalha por mensagens e desafia detecção tradicional

Uma nova campanha de ciberataques está explorando o WhatsApp como vetor de disseminação de malware em um formato incomum: sem deixar rastros no disco. Batizado de WhatsApp Spray, o ataque fileless foi identificado pela equipe de inteligência da Solo Iron em outubro de 2025 e utiliza arquivos compactados (.zip) com atalhos (.lnk) disfarçados de comprovantes bancários para enganar as vítimas.

Ao abrir o arquivo, o usuário aciona uma sequência de comandos que passam despercebidos: o cmd.exe invoca o powershell.exe, que executa um script ofuscado em Base64 responsável por baixar um componente .NET diretamente na memória — sem que nada seja gravado no sistema. Essa técnica fileless, cada vez mais comum em ataques direcionados, dificulta a detecção por antivírus tradicionais e permite a execução de payloads de forma furtiva.

Durante a análise, a Solo Iron identificou um painel administrativo controlando a operação, com automação para geração de arquivos maliciosos e distribuição de payloads via múltiplos domínios. O ambiente incluía estatísticas detalhadas de entrega, base de números de telefone e controle em tempo real dos envios — uma evidência clara de que se trata de uma campanha organizada, com características de grupo APT (Ameaça Persistente Avançada).

Para mitigar o risco, a Solo Iron recomenda isolar dispositivos comprometidos, bloquear domínios maliciosos e hashes identificados, desabilitar o download automático de mídia no WhatsApp e reforçar as políticas de AppLocker e Windows Defender Application Control. O time também disponibilizou regras de detecção KQL e YARA que podem ser aplicadas em plataformas como o Microsoft Defender e o Sentinel para identificar indicadores de comprometimento proativamente.

Os ataques fileless, como o WhatsApp Spray, representam uma mudança de paradigma na ciberdefesa: o perigo agora reside na memória, não mais nos arquivos. Isso exige que empresas invistam em soluções de detecção comportamental, monitoramento contínuo e inteligência de ameaças capaz de atuar antes que o invasor alcance o alvo.

O relatório Threat Intell Report – Fileless “WhatsApp Spray”, produzido pela equipe de inteligência cibernética da Solo Iron, detalha toda a anatomia do ataque — do vetor inicial via engenharia social à execução em memória e evasão de mecanismos de segurança. O documento traz evidências extraídas da exploração direta da infraestrutura do atacante, incluindo o painel de controle utilizado para gerenciar os envios e gerar automaticamente arquivos maliciosos. Além disso, apresenta indicadores de comprometimento (IOCs), mapeamento MITRE ATT&CK, regras de detecção KQL e YARA, e recomendações práticas de contenção e remediação, tornando-se uma referência para profissionais de segurança que buscam entender e neutralizar ameaças fileless com precisão operacional.

Baixe o relatório completo e proteja sua equipe agora.

mais conteúdo

WhatsApp Spray: ataque fileless se espalha por mensagens e desafia detecção tradicional
WhatsApp Spray: ataque fileless se espalha por mensagens e desafia detecção tradicional
A nova era das ciberameaças com IA: como as empresas devem reagir
A nova era das ciberameaças com IA: como as empresas devem reagir
SOC Gerenciado: da segurança reativa à detecção contínua de ameaças
SOC Gerenciado: da segurança reativa à detecção contínua de ameaças
Pentest: por que os testes de intrusão são essenciais para a segurança corporativa
Pentest: por que os testes de intrusão são essenciais para a segurança corporativa
MXDR com Microsoft Sentinel: conheça as vantagens desse serviço gerenciado
MXDR com Microsoft Sentinel: conheça as vantagens desse serviço gerenciado

Quer saber como o seu negócio pode se tornar nosso próximo case de sucesso?

Entre em contato agora mesmo!

Fale Conosco

Solo Iron: A vertical de cibersegurança da Solo Network projetada para proteger cada aspecto do seu negócio.

Solo Iron

Linkedin Instagram Facebook

Soluções

Parceiros

© Solo Iron - Todos os direitos reservados