Hack Alerta

Campanha global HackOnChat abusa de páginas de autenticação falsas no WhatsApp Web

Por Redação Hack Alerta Publicado em 20/11/2025 10:02 Cyber ataques Tempo de leitura: 3 min

A CTM360 mapeou a campanha HackOnChat, que utiliza páginas de autenticação falsas e engenharia social para sequestrar contas do WhatsApp via WhatsApp Web. Investigadores identificaram milhares de URLs maliciosas, com alcance global declarado; as fontes não informam números de vítimas confirmadas.

Investigadores da CTM360 identificaram uma campanha em expansão que engana usuários com páginas de login e portais falsos, visando o sequestro de contas do WhatsApp via engenharia social — a campanha foi apelidada internamente de “HackOnChat”.

Panorama e mecanismo

Relatada pelo The Hacker News com base em investigação da CTM360, a campanha explora a familiaridade dos usuários com a interface web do WhatsApp. Os atacantes criam uma rede de URLs maliciosas que imitam páginas de autenticação e perfis de suporte para induzir a vítima a realizar ações que resultem na cessão do controle da conta.

Os investigadores identificaram "milhares" de URLs maliciosas ligadas à operação, segundo a cobertura. A técnica baseia‑se fortemente em social engineering: páginas convincentes e passos que se aproveitam da confiança do usuário para recolher códigos de verificação ou credenciais temporárias.

Vetor e exploração

  • Imitação do fluxo de login do WhatsApp Web, com páginas que solicitam códigos ou instruções para “restaurar” acesso.
  • Impersonação de suporte técnico ou contatos confiáveis para induzir compartilhamento de códigos de autenticação.
  • Distribuição das páginas por meios típicos de phishing: links em mensagens, páginas comprometidas e possivelmente anúncios maliciosos.

Impacto e alcance

A CTM360 descreve a operação como de alcance global, mas as fontes não quantificam o número de contas efetivamente comprometidas. O uso de milhares de URLs maliciosas sugere uma campanha escalada e modular, onde os atacantes rotacionam domínios e páginas para evitar detecção e derrubada rápida.

Mitigações e práticas defensivas

  • Nunca compartilhar códigos de verificação temporários (two‑step codes) com terceiros; tratá‑los como segredos.
  • Habilitar mecanismos adicionais de proteção quando disponíveis (autenticação em duas etapas com método independente do SMS quando possível).
  • Educar usuários e equipes sobre páginas de phishing que replicam visualmente interfaces legítimas; validar URLs e canais oficiais antes de inserir códigos.
  • Implantar filtros e bloqueios de URL em gateways e proxys para reduzir exposição a domínios maliciosos conhecidos.

Limitações das informações

As matérias não detalham indicadores de comprometimento (IoCs) ou domínios específicos, e também não informam se houve coordenação com provedores de infra para derrubar as páginas. As fontes indicam apenas a existência de milhares de URLs e a tática central de engenharia social.

Observação final

A combinação de campanhas de phishing sofisticadas e vetores que se aproveitam de fluxos de autenticação mostra a necessidade de controles tanto técnicos quanto humanos. Ferramentas de proteção de endpoints e de filtragem de links reduzem risco, mas a defesa exige políticas claras e treinamento continuado para usuários.

Baseado em publicação original de The Hacker News
Tags: #whatsapp #phishing #hackonchat #ctm360 #web-login #account-hijack #malicious-urls #social-engineering #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar