Эксперты компании по безопасности Socket, включая исследователя Кирилла Бойченко, выявили масштабную и скоординированную кампанию по рассылке спама, нацеленную на бразильских пользователей. В ходе операции использовалось 131 вредоносное расширение для браузера Google Chrome, которые перехватывали функциональность веб-версии WhatsApp.
Общее число активных пользователей этих расширений достигло 20 905 человек. Самым популярным из них оказалось YouSeller с аудиторией в 10 000 пользователей. Среди других клонов были выявлены performancemais (239 пользователей), Botflow (38 пользователей) и ZapVende (32 пользователя). Каждое из этих расширений являлось клоном, имеющим идентичную кодовую базу и инфраструктуру.
Данные расширения классифицируются как «спам-программы» (spamware), а не классическое вредоносное ПО. Их основная функция — внедрение кода непосредственно на страницу WhatsApp Web. Это позволяет автоматизировать массовую рассылку сообщений в обход встроенных в платформу механизмов защиты от спама и ограничений на количество отправлений, причем без какого-либо подтверждения со стороны пользователя.
Для привлечения пользователей злоумышленники маскировали свои продукты под легитимные инструменты для управления взаимоотношениями с клиентами (CRM). Например, в описании расширения ZapVende говорилось: «Превратите свой WhatsApp в мощный инструмент продаж и управления контактами. С Zap Vende у вас будет интуитивно понятная CRM, автоматизация сообщений, массовые рассылки, наглядная воронка продаж и многое другое».
Создателем и главным организатором схемы является компания DBX Tecnologia. Она использовала бизнес-модель, основанную на франшизе или реселлерской программе. Партнеры могли инвестировать 12 000 бразильских реалов и получить доступ к готовому решению для его дальнейшего распространения под собственным брендом. DBX Tecnologia обещала партнерам регулярный доход в размере от 30 000 до 84 000 реалов.
Распространением клонированных расширений в официальном магазине Chrome Web Store занимались аффилированные издатели, действовавшие под именами "WL Extensão" и "WLExtensao". Такая деятельность является прямым нарушением политики Google в отношении спама и злоупотреблений, которая запрещает публикацию нескольких расширений с дублирующейся функциональностью. Для продвижения своих методов DBX Tecnologia также использовала YouTube, где публиковала видеоинструкции по обходу антиспам-алгоритмов WhatsApp.
Кампания продолжалась как минимум девять месяцев. Последняя активность, связанная с загрузкой новых версий и обновлений расширений, была зафиксирована 17 октября 2025 года.
Параллельно с этой кампанией была выявлена еще одна крупная киберугроза, также нацеленная на пользователей в Бразилии. Исследователи из компаний Trend Micro, Sophos и Kaspersky обнаружили червя для WhatsApp под названием SORVEPOTEL. Его основной задачей является распространение банковского трояна Maverick, предназначенного для кражи финансовых данных.
Изображение носит иллюстративный характер
Общее число активных пользователей этих расширений достигло 20 905 человек. Самым популярным из них оказалось YouSeller с аудиторией в 10 000 пользователей. Среди других клонов были выявлены performancemais (239 пользователей), Botflow (38 пользователей) и ZapVende (32 пользователя). Каждое из этих расширений являлось клоном, имеющим идентичную кодовую базу и инфраструктуру.
Данные расширения классифицируются как «спам-программы» (spamware), а не классическое вредоносное ПО. Их основная функция — внедрение кода непосредственно на страницу WhatsApp Web. Это позволяет автоматизировать массовую рассылку сообщений в обход встроенных в платформу механизмов защиты от спама и ограничений на количество отправлений, причем без какого-либо подтверждения со стороны пользователя.
Для привлечения пользователей злоумышленники маскировали свои продукты под легитимные инструменты для управления взаимоотношениями с клиентами (CRM). Например, в описании расширения ZapVende говорилось: «Превратите свой WhatsApp в мощный инструмент продаж и управления контактами. С Zap Vende у вас будет интуитивно понятная CRM, автоматизация сообщений, массовые рассылки, наглядная воронка продаж и многое другое».
Создателем и главным организатором схемы является компания DBX Tecnologia. Она использовала бизнес-модель, основанную на франшизе или реселлерской программе. Партнеры могли инвестировать 12 000 бразильских реалов и получить доступ к готовому решению для его дальнейшего распространения под собственным брендом. DBX Tecnologia обещала партнерам регулярный доход в размере от 30 000 до 84 000 реалов.
Распространением клонированных расширений в официальном магазине Chrome Web Store занимались аффилированные издатели, действовавшие под именами "WL Extensão" и "WLExtensao". Такая деятельность является прямым нарушением политики Google в отношении спама и злоупотреблений, которая запрещает публикацию нескольких расширений с дублирующейся функциональностью. Для продвижения своих методов DBX Tecnologia также использовала YouTube, где публиковала видеоинструкции по обходу антиспам-алгоритмов WhatsApp.
Кампания продолжалась как минимум девять месяцев. Последняя активность, связанная с загрузкой новых версий и обновлений расширений, была зафиксирована 17 октября 2025 года.
Параллельно с этой кампанией была выявлена еще одна крупная киберугроза, также нацеленная на пользователей в Бразилии. Исследователи из компаний Trend Micro, Sophos и Kaspersky обнаружили червя для WhatsApp под названием SORVEPOTEL. Его основной задачей является распространение банковского трояна Maverick, предназначенного для кражи финансовых данных.
