Como o ataque funcionou
Meta anunciou nesta segunda-feira (8) que detectou e bloqueou tentativas de spear-phishing ligadas ao NSO Group, fabricante israelense de spyware. A empresa também pediu a um tribunal federal dos EUA que declare o NSO em desacato por violar uma injunção permanente que proibia o grupo de atacar o WhatsApp e seus usuários.
De acordo com a Meta, a operação envolveu a criação de perfis e grupos de teste no WhatsApp, já removidos, e o uso de links maliciosos para redirecionar alvos a sites externos. A técnica é semelhante às campanhas de “1-click phishing” anteriormente atribuídas ao NSO, em que basta clicar em um link para iniciar a infecção pelo spyware Pegasus. O objetivo era levar vítimas a páginas controladas pelos atacantes fora da infraestrutura do WhatsApp.
Domínios maliciosos identificados
O WhatsApp divulgou uma lista de indicadores de comprometimento (IoCs) ligados à campanha. A publicação dos domínios busca permitir que organizações de segurança identifiquem e bloqueiem o tráfego relacionado em suas redes. Os três domínios compartilham um padrão de nomenclatura semelhante, sugerindo uma infraestrutura de comando e controle unificada.
| Domínio malicioso | Status |
|---|---|
| fr24cast[.]com | Bloqueado pela Meta |
| ghazacast[.]com | Bloqueado pela Meta |
| ikhwancast[.]com | Bloqueado pela Meta |
Histórico do caso Meta vs NSO
A disputa legal entre as duas empresas se arrasta há anos. Em dezembro de 2024, um tribunal dos EUA considerou o NSO Group responsável por hackear usuários do WhatsApp com o Pegasus. Em maio de 2025, um júri concedeu à Meta cerca de US$ 168 milhões em danos — valor posteriormente reduzido pelo juiz a US$ 4 milhões, acompanhado de uma injunção permanente proibindo o NSO de atacar a plataforma.
Em 2021, o Departamento de Comércio dos EUA incluiu o NSO Group na Entity List por atividades “contrárias à segurança nacional e aos interesses de política externa”. Apesar das sanções e da injunção judicial, a Meta afirma que o NSO continuou operando contra alvos no WhatsApp. “Quando uma empresa maliciosa na Entity List do governo dos EUA continua a desafiar tribunais americanos, as restrições precisam permanecer firmemente em vigor”, escreveu o WhatsApp em comunicado.
Como proteger sua conta
O WhatsApp recomenda que usuários em risco elevado ativem as configurações restritas de conta, um recurso de proteção avançada que reduz a superfície de ataque ao impor:
- Verificação em duas etapas obrigatória
- Desativação de pré-visualização de links
- Visibilidade de foto de perfil, recado e “visto por último” restrita a contatos
- Apenas contatos conhecidos podem ser adicionados a grupos
Mantenha o aplicativo e o sistema operacional sempre atualizados e denuncie mensagens ou links suspeitos diretamente no WhatsApp. O recurso de verificação em duas etapas pode ser ativado em Configurações → Conta → Verificação em duas etapas.
As mensagens pessoais e chamadas no WhatsApp permanecem protegidas por criptografia de ponta a ponta por padrão, o que impede a interceptação do conteúdo mesmo que o link malicioso seja clicado.