A SEK identificou uma campanha de phishing em larga escala, que está utilizando números corporativos legítimos do WhatsApp, previamente comprometidos, para disseminar arquivos maliciosos. O atacante acessa o histórico de conversas das contas invadidas e envia arquivos em formato .ZIP, disfarçados de comprovantes bancários. Esses arquivos contêm malware capaz de comprometer segurança do dispositivo e roubar informações sensíveis.
Recomendações:
- Cuidado com arquivos .ZIP de origem desconhecida ou suspeita : Não abra arquivos .ZIP recebidos via WhatsApp, e-mail ou outras plataformas, mesmo que aparentem vir de contatos conhecidos. Verifique a legitimidade da mensagem diretamente com o remetente, por meio de outro canal.
- Nunca execute arquivos sem verificação : Sempre desconfie de arquivos executáveis (.EXE, .BAT, .SCR), scripts (.JS, .VBS) ou documentos com extensões duvidosas (ex.: .ZIP que solicita senha para extração).
- Valide a identidade do remetente : Se receber mensagens inesperadas com arquivos ou links, confirme a autenticidade com o suposto remetente antes de qualquer interação.
- Mantenha sistemas e antivírus atualizados : Garanta que todos os dispositivos (incluindo celulares) tenham soluções de antivírus ativas e atualizadas.
- Denuncie imediatamente : Encaminhe qualquer comunicação suspeita para a equipe de segurança e não compartilhe o conteúdo com terceiros.
- Eduque sua equipe : Compartilhe este alerta com todos os colaboradores, especialmente aqueles que lidam com dados sensíveis ou comunicação externa.
Além disso, é recomendável que clientes bloqueiem os seguintes IoCs em suas devidas ferramentas, como firewalls e outras. A lista completa está disponível no link: https://links.sek.io/iocphishingzip. Para os clientes do SOC da SEK, os IoCs já foram cadastrados no MISP.
Seguiremos acompanhando este e outros casos, bem como mantendo nossos clientes e parceiros informados. Estamos à disposição para quaisquer dúvidas ou esclarecimentos adicionais.