SEK - Security Ecosystem Knowledge

SEK SECURITY ADVISORY

Campanha de Malware Multi-Stage via WhatsApp Web com Automação de Propagação Massiva
23 OUTUBRO | 2025
SEVERIDADE: CRÍTICA

SEK SECURITY ADVISORY

Multi-Stage Malware Campaign via WhatsApp Web with Mass Propagation Automation
OCTOBER 23 | 2025
SEVERITY: CRITICAL

SEK SECURITY ADVISORY

Campaña de Malware Multi-Stage vía WhatsApp Web con Automatización de Propagación Masiva
23 OCTUBRE | 2025
SEVERIDAD: CRÍTICA

Overview

A SEK detectou uma sofisticada campanha de malware multi-stage que está se propagando massivamente através do WhatsApp Web, utilizando técnicas avançadas de automação e engenharia social. A ameaça, identificada com os domínios de comando e controle varegjopeaks[.]com e manoelimoveiscaioba[.]com, combina arquivos VBScript ofuscados, PowerShell e automação de navegador via Selenium/WPPConnect para comprometer sistemas Windows e propagar-se automaticamente através de contatos do WhatsApp das vítimas. A campanha foi documentada em análise técnica detalhada que revela uma kill chain em seis fases distintas.

O ataque inicia com a distribuição de arquivos ZIP maliciosos através de mensagens de WhatsApp com nomes que simulam documentos legítimos (exemplo: "Orçamento-2025########.zip"). Após a execução, a ameaça implanta múltiplos stages: um VBScript loader massivo (~13 MB) altamente ofuscado (WinManagers.vbs), scripts PowerShell para controle remoto e configuração, e finalmente um módulo Python (whats.py) que automatiza o WhatsApp Web usando ChromeDriver e a biblioteca wppconnect-wa.js. O malware verifica o idioma do sistema (pt-BR/pt-PT), analisa a presença de soluções EDR, estabelece comunicação com servidores C2, e clona perfis do navegador Chrome para manter sessões autenticadas.

O impacto desta campanha é crítico devido à sua capacidade de propagação automática e massiva. O malware extrai toda a lista de contatos do WhatsApp Web da vítima e os envia para o servidor C2 (hxxps[://]varegjopeaks[.]com/api/contacts[.]php), baixa arquivos maliciosos codificados em Base64, e distribui automaticamente mensagens personalizadas com anexos infectados para todos os contatos. O sistema de controle remoto permite aos atacantes pausar/retomar operações dinamicamente através de flags em hxxps[://]varegjopeaks[.]com/api/config[.]php, e toda a telemetria é enviada via hxxps[://]varegjopeaks[.]com/api/log[.]php. A exploração ativa está confirmada, com múltiplas variantes identificadas através dos hashes SHA256, representando risco elevado para organizações e usuários individuais.

Recomendações

Organizações e usuários devem implementar as seguintes medidas de proteção imediatamente:

  • Bloquear imediatamente todos os domínios maliciosos identificados (varegjopeaks[.]com, manoelimoveiscaioba[.]com, miportuarios[.]com, quando usado para C2) em firewalls, proxies web e soluções de segurança de endpoint
  • Implementar regras de detecção para executáveis suspeitos incluindo WinManagers.vbs, chromedriver.exe em diretórios temporários, e wppconnect-wa.js baixados de fontes externas
  • Educar usuários para não abrir arquivos ZIP recebidos via WhatsApp, especialmente aqueles com nomes genéricos como "Orçamento", "Proposta", "Cotação" seguidos de números aleatórios
  • Aplicar políticas de AppLocker ou Software Restriction Policies para bloquear execução de scripts VBS e PowerShell de diretórios de usuário e temporários (%TEMP%, %APPDATA%)
  • Monitorar logs de EDR/AV para atividades relacionadas a automação de navegadores (selenium, chromedriver, wppconnect) e comunicações HTTPS suspeitas para os endpoints /api/config.php, /api/log.php, /api/contacts.php
  • Verificar tarefas agendadas (Task Scheduler) em busca de persistência criada pelo malware e revisar processos do Chrome/Edge/Firefox executando perfis clonados ou temporários
  • Implementar autenticação multifator (MFA) em contas corporativas e reforçar políticas de uso de WhatsApp Web em ambientes corporativos
  • Em ambientes onde o WhatsApp é homologado, desativar a função de download automático de mídia nas configurações do aplicativo para evitar execução inadvertida de arquivos maliciosos
  • Realizar varreduras de IOCs (hashes SHA256: 5d929876190a0bab69aea3f87988b9d73713960969b193386ff50c1b5ffeadd6, 2c885d1709e2ebfcaa81e998d199b29e982a7559b9d72e5db0e70bf31b183a5f, 6168d63fad22a4e5e45547ca6116ef68bb5173e17e25fd1714f7cc1e4f7b41e1) em sistemas da rede
  • Configurar detecções SIEM para atividades MITRE ATT&CK T1566.001/003 (Phishing), T1027 (Obfuscated Files), T1071.001 (Web Protocols), T1105 (Ingress Tool Transfer) e T1204 (User Execution)
  • Isolar imediatamente sistemas comprometidos identificados, eliminar artefatos maliciosos (scripts, tarefas, perfis clonados), e restaurar a partir de backups limpos verificados
  • Notificar contatos que possam ter recebido mensagens maliciosas da conta comprometida e orientá-los sobre os riscos

Overview

SEK has detected a sophisticated multi-stage malware campaign that is spreading massively through WhatsApp Web, using advanced automation techniques and social engineering. The threat, identified with command and control domains varegjopeaks[.]com and manoelimoveiscaioba[.]com, combines obfuscated VBScript files, PowerShell, and browser automation via Selenium/WPPConnect to compromise Windows systems and automatically propagate through victims' WhatsApp contacts. The campaign has been documented in detailed technical analysis revealing a six-phase kill chain.

The attack begins with the distribution of malicious ZIP files through WhatsApp messages with names that simulate legitimate documents (example: "Orçamento-2025########.zip"). After execution, the threat deploys multiple stages: a massive (~13 MB) highly obfuscated VBScript loader (WinManagers.vbs), PowerShell scripts for remote control and configuration, and finally a Python module (whats.py) that automates WhatsApp Web using ChromeDriver and the wppconnect-wa.js library. The malware checks system language (pt-BR/pt-PT), analyzes the presence of EDR solutions, establishes communication with C2 servers, and clones Chrome browser profiles to maintain authenticated sessions.

The impact of this campaign is critical due to its automatic and mass propagation capability. The malware extracts the victim's entire WhatsApp Web contact list and sends it to the C2 server (hxxps[://]varegjopeaks[.]com/api/contacts[.]php), downloads malicious Base64-encoded files, and automatically distributes personalized messages with infected attachments to all contacts. The remote control system allows attackers to dynamically pause/resume operations through flags at hxxps[://]varegjopeaks[.]com/api/config[.]php, and all telemetry is sent via hxxps[://]varegjopeaks[.]com/api/log[.]php. Active exploitation is confirmed, with multiple variants identified through SHA256 hashes, representing elevated risk for organizations and individual users.

Recommendations

Organizations and users should implement the following protective measures immediately:

  • Immediately block all identified malicious domains (varegjopeaks[.]com, manoelimoveiscaioba[.]com, miportuarios[.]com, when used for C2) in firewalls, web proxies, and endpoint security solutions
  • Implement detection rules for suspicious executables including WinManagers.vbs, chromedriver.exe in temporary directories, and wppconnect-wa.js downloaded from external sources
  • Educate users not to open ZIP files received via WhatsApp, especially those with generic names like "Budget", "Proposal", "Quote" followed by random numbers
  • Apply AppLocker policies or Software Restriction Policies to block execution of VBS and PowerShell scripts from user and temporary directories (%TEMP%, %APPDATA%)
  • Monitor EDR/AV logs for activities related to browser automation (selenium, chromedriver, wppconnect) and suspicious HTTPS communications to endpoints /api/config.php, /api/log.php, /api/contacts.php
  • Check scheduled tasks (Task Scheduler) for malware-created persistence and review Chrome/Edge/Firefox processes running cloned or temporary profiles
  • Implement multi-factor authentication (MFA) on corporate accounts and reinforce WhatsApp Web usage policies in corporate environments
  • In environments where WhatsApp is approved for use, disable the automatic media download function in application settings to prevent inadvertent execution of malicious files
  • Perform IOC scans (SHA256 hashes: 5d929876190a0bab69aea3f87988b9d73713960969b193386ff50c1b5ffeadd6, 2c885d1709e2ebfcaa81e998d199b29e982a7559b9d72e5db0e70bf31b183a5f, 6168d63fad22a4e5e45547ca6116ef68bb5173e17e25fd1714f7cc1e4f7b41e1) across network systems
  • Configure SIEM detections for MITRE ATT&CK activities T1566.001/003 (Phishing), T1027 (Obfuscated Files), T1071.001 (Web Protocols), T1105 (Ingress Tool Transfer), and T1204 (User Execution)
  • Immediately isolate identified compromised systems, remove malicious artifacts (scripts, tasks, cloned profiles), and restore from verified clean backups
  • Notify contacts who may have received malicious messages from the compromised account and guide them about the risks

Overview

SEK detectó una sofisticada campaña de malware multi-stage que se está propagando masivamente a través de WhatsApp Web, utilizando técnicas avanzadas de automatización e ingeniería social. La amenaza, identificada con los dominios de comando y control varegjopeaks[.]com y manoelimoveiscaioba[.]com, combina archivos VBScript ofuscados, PowerShell y automatización de navegador vía Selenium/WPPConnect para comprometer sistemas Windows y propagarse automáticamente a través de los contactos de WhatsApp de las víctimas. La campaña fue documentada en análisis técnico detallado que revela una kill chain de seis fases distintas.

El ataque inicia con la distribución de archivos ZIP maliciosos a través de mensajes de WhatsApp con nombres que simulan documentos legítimos (ejemplo: "Orçamento-2025########.zip"). Después de la ejecución, la amenaza implanta múltiples stages: un VBScript loader masivo (~13 MB) altamente ofuscado (WinManagers.vbs), scripts PowerShell para control remoto y configuración, y finalmente un módulo Python (whats.py) que automatiza WhatsApp Web usando ChromeDriver y la biblioteca wppconnect-wa.js. El malware verifica el idioma del sistema (pt-BR/pt-PT), analiza la presencia de soluciones EDR, establece comunicación con servidores C2, y clona perfiles del navegador Chrome para mantener sesiones autenticadas.

El impacto de esta campaña es crítico debido a su capacidad de propagación automática y masiva. El malware extrae toda la lista de contactos de WhatsApp Web de la víctima y los envía al servidor C2 (hxxps[://]varegjopeaks[.]com/api/contacts[.]php), descarga archivos maliciosos codificados en Base64, y distribuye automáticamente mensajes personalizados con adjuntos infectados a todos los contactos. El sistema de control remoto permite a los atacantes pausar/reanudar operaciones dinámicamente a través de flags en hxxps[://]varegjopeaks[.]com/api/config[.]php, y toda la telemetría es enviada vía hxxps[://]varegjopeaks[.]com/api/log[.]php. La explotación activa está confirmada, con múltiples variantes identificadas a través de los hashes SHA256, representando riesgo elevado para organizaciones y usuarios individuales.

Recomendaciones

Las organizaciones y usuarios deben implementar las siguientes medidas de protección inmediatamente:

  • Bloquear inmediatamente todos los dominios maliciosos identificados (varegjopeaks[.]com, manoelimoveiscaioba[.]com, miportuarios[.]com, cuando se usa para C2) en firewalls, proxies web y soluciones de seguridad de endpoint
  • Implementar reglas de detección para ejecutables sospechosos incluyendo WinManagers.vbs, chromedriver.exe en directorios temporales, y wppconnect-wa.js descargados de fuentes externas
  • Educar a los usuarios para no abrir archivos ZIP recibidos vía WhatsApp, especialmente aquellos con nombres genéricos como "Presupuesto", "Propuesta", "Cotización" seguidos de números aleatorios
  • Aplicar políticas de AppLocker o Software Restriction Policies para bloquear la ejecución de scripts VBS y PowerShell de directorios de usuario y temporales (%TEMP%, %APPDATA%)
  • Monitorear logs de EDR/AV para actividades relacionadas con automatización de navegadores (selenium, chromedriver, wppconnect) y comunicaciones HTTPS sospechosas hacia los endpoints /api/config.php, /api/log.php, /api/contacts.php
  • Verificar tareas programadas (Task Scheduler) en busca de persistencia creada por el malware y revisar procesos de Chrome/Edge/Firefox ejecutando perfiles clonados o temporales
  • Implementar autenticación multifactor (MFA) en cuentas corporativas y reforzar políticas de uso de WhatsApp Web en ambientes corporativos
  • En ambientes donde WhatsApp está homologado, desactivar la función de descarga automática de medios en la configuración de la aplicación para evitar ejecución inadvertida de archivos maliciosos
  • Realizar escaneos de IOCs (hashes SHA256: 5d929876190a0bab69aea3f87988b9d73713960969b193386ff50c1b5ffeadd6, 2c885d1709e2ebfcaa81e998d199b29e982a7559b9d72e5db0e70bf31b183a5f, 6168d63fad22a4e5e45547ca6116ef68bb5173e17e25fd1714f7cc1e4f7b41e1) en sistemas de la red
  • Configurar detecciones SIEM para actividades MITRE ATT&CK T1566.001/003 (Phishing), T1027 (Obfuscated Files), T1071.001 (Web Protocols), T1105 (Ingress Tool Transfer) y T1204 (User Execution)
  • Aislar inmediatamente sistemas comprometidos identificados, eliminar artefactos maliciosos (scripts, tareas, perfiles clonados), y restaurar a partir de backups limpios verificados
  • Notificar a contactos que puedan haber recibido mensajes maliciosos de la cuenta comprometida y orientarlos sobre los riesgos

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos

SEK Content Hub

Access our content hub and check out the latest reports and news on cybersecurity.

Access Content Hub

Central de Contenidos SEK

Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.

Acceder a la Central de Contenidos