Pesquisadores em cibersegurança identificaram uma campanha coordenada que utilizou 131 clones renomeados de uma extensão para automação do WhatsApp Web no Google Chrome para enviar spam em larga escala a usuários brasileiros.
Segundo a empresa de segurança de supply chain Socket, essas 131 extensões de spamware compartilham a mesma base de código, padrões de design e infraestrutura.
Juntas, elas somam cerca de 20.905 usuários ativos.
“Não se tratam de malware clássico, mas funcionam como uma automação de spam de alto risco que abusa das regras da plataforma”, explica o pesquisador Kirill Boychenko.
“O código é injetado diretamente na página do WhatsApp Web, rodando junto aos scripts originais do WhatsApp, automatizando o envio em massa e o agendamento de mensagens, tentando contornar os mecanismos anti-spam do WhatsApp.”
O objetivo final da campanha é disparar mensagens em massa via WhatsApp, superando os limites de taxa e os controles anti-spam da plataforma.
A atividade está em andamento há pelo menos nove meses, com novos uploads e atualizações das extensões detectados até 17 de outubro de 2025.
Algumas das extensões identificadas são:
- YouSeller (10.000 usuários)
- performancemais (239 usuários)
- Botflow (38 usuários)
- ZapVende (32 usuários)
Apesar da variedade de nomes e logos, a maioria foi publicada pelos grupos “WL Extensão” e sua variante “WLExtensao”.
A suspeita é de que essa diversidade de marcas resulte de um modelo de franquia, permitindo que afiliados inundem a Chrome Web Store com clones da extensão original, desenvolvida pela empresa DBX Tecnologia.
Essas extensões também se apresentam como ferramentas de CRM (Customer Relationship Management) para WhatsApp, prometendo otimizar vendas por meio da versão web do aplicativo.
Na página do ZapVende na Chrome Web Store, por exemplo, a descrição diz: “Transforme seu WhatsApp em uma poderosa ferramenta de vendas e gestão de contatos. Com o Zap Vende, você terá um CRM intuitivo, automação de mensagens, envio em massa, funil de vendas visual e muito mais. Organize seu atendimento, acompanhe leads e agende mensagens de forma prática e eficiente.”
De acordo com a Socket, a DBX Tecnologia oferece um programa white-label para revendedores, permitindo que parceiros rebrandem e comercializem a extensão do WhatsApp Web sob suas próprias marcas, prometendo uma receita recorrente entre R$ 30 mil e R$ 84 mil, a partir de um investimento inicial de R$ 12 mil.
É importante destacar que essa prática viola a política de Spam e Abuso da Chrome Web Store do Google, que proíbe desenvolvedores e afiliados de enviar múltiplas extensões com funcionalidades duplicadas na plataforma.
Além disso, a DBX Tecnologia publicou vídeos no YouTube ensinando como burlar os algoritmos anti-spam do WhatsApp ao usar essas extensões.
“O conjunto é formado por cópias quase idênticas distribuídas entre várias contas de publicadores, vendidas para disparos em massa não solicitados e que automatizam o envio de mensagens dentro do web[.]whatsapp[.]com sem confirmação do usuário”, comenta Boychenko.
“O objetivo é manter campanhas em larga escala funcionando enquanto evitam os sistemas anti-spam.”
Essa revelação surge no mesmo momento em que empresas como Trend Micro, Sophos e Kaspersky alertam sobre uma campanha massiva que mira usuários brasileiros com um worm para WhatsApp chamado SORVEPOTEL, usado para distribuir um trojan bancário conhecido como Maverick.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...