Campanha de hacking no WhatsApp roubava senhas e espionava usuários no Oriente Médio

Uma campanha sofisticada de hacking direcionada a usuários de WhatsApp e Gmail atingiu figuras de alto perfil no Oriente Médio e na diáspora iraniana, combinando phishing avançado, sequestro de contas e possíveis ações de espionagem digital. O caso veio à tona após o ativista iraniano radicado no Reino Unido Nariman Gharib divulgar capturas de tela de um link malicioso que recebeu via WhatsApp.

O ataque ocorreu em um momento de extrema tensão no Irã, que enfrenta o mais longo bloqueio nacional de internet de sua história em meio a protestos contra o governo e repressões violentas. Segundo Gharib, a campanha teve como alvo pessoas envolvidas em temas relacionados ao Irã, incluindo ativistas, acadêmicos, jornalistas e autoridades governamentais.

Foi possível analisar o código-fonte da página de phishing utilizada na ofensiva. A análise técnica, complementada por pesquisadores independentes, indicou que o objetivo era roubar credenciais de Gmail, comprometer contas do WhatsApp e coletar dados sensíveis dos dispositivos das vítimas, como localização geográfica, fotos e gravações de áudio.

Os hackers utilizaram um serviço de DNS dinâmico chamado DuckDNS para mascarar a verdadeira localização da infraestrutura maliciosa e dar aparência legítima ao link, simulando um convite para reuniões virtuais do WhatsApp. Na prática, o conteúdo era hospedado em domínios recém-criados, registrados no final de 2025, o que sugere uma operação planejada com antecedência.

Uma falha grave na infraestrutura do ataque permitiu que os investigadores acessassem, sem autenticação, um arquivo contendo registros em tempo real das vítimas. Esse banco de dados expôs mais de 850 entradas, incluindo endereços de e-mail, senhas, códigos de autenticação em dois fatores e informações sobre o navegador e sistema operacional utilizados funcionando, na prática, como um keylogger remoto.

Entre as vítimas identificadas estavam um acadêmico especializado em segurança nacional no Oriente Médio, um executivo de uma empresa israelense de drones, um ministro libanês, jornalistas e pessoas localizadas nos Estados Unidos ou com números americanos. O phishing site já foi retirado do ar, mas os impactos da campanha ainda estão sendo avaliados.

Além do roubo de credenciais, a campanha também explorou um método conhecido de sequestro de contas do WhatsApp. Ao enganar a vítima para escanear um QR Code falso, os hackers conseguiam vincular a conta a um dispositivo controlado por eles, abusando do recurso legítimo de pareamento de dispositivos técnica já observada em ataques contra usuários do aplicativo Signal.

Pesquisadores como Runa Sandvik, fundadora da Granitt, identificaram no código malicioso funções que solicitavam permissões do navegador para acessar geolocalização, câmera e microfone. Caso a vítima aceitasse, sua localização seria enviada continuamente aos invasores, além da captura periódica de imagens e áudio.

A autoria da campanha ainda não foi confirmada. Especialistas do Citizen Lab apontaram semelhanças com campanhas de spear phishing historicamente associadas à Islamic Revolutionary Guard Corps (IRGC), enquanto outros indícios levantam a hipótese de motivação financeira. Há ainda a possibilidade de uma sobreposição entre interesses estatais e grupos hackers com fins lucrativos, prática já atribuída anteriormente ao governo iraniano.