Cybersecurity-onderzoekers hebben een gecoördineerde campagne ontdekt die gebruik maakte van 131 rebranded klonen van een WhatsApp-webautomatiseringsextensie voor Google Chrome om Braziliaanse gebruikers op grote schaal te spammen.
De 131 spamware-extensies delen dezelfde codebase, ontwerppatronen en infrastructuur, aldus supply chain-beveiligingsbedrijf Socket. De browser-add-ons hebben gezamenlijk ongeveer 20.905 actieve gebruikers.
“Het zijn geen klassieke malware, maar ze fungeren als risicovolle spamautomatisering die platformregels misbruikt”, zegt beveiligingsonderzoeker Kirill Boychenko. “De code wordt rechtstreeks in de WhatsApp-webpagina geïnjecteerd, naast WhatsApp’s eigen scripts, en automatiseert bulk-outreach en planning op manieren die erop gericht zijn de anti-spamhandhaving van WhatsApp te omzeilen.”
Het einddoel van de campagne is om uitgaande berichten via WhatsApp te verspreiden op een manier die de snelheidslimieten en antispamcontroles van het berichtenplatform omzeilt.
Er wordt geschat dat de activiteit al minstens negen maanden aan de gang is, waarbij nieuwe uploads en versie-updates van de extensies pas op 17 oktober 2025 zijn waargenomen. Enkele van de geïdentificeerde extensies staan hieronder vermeld:
- YouSeller (10.000 gebruikers)
- prestatiemais (239 gebruikers)
- Botstroom (38 gebruikers)
- ZapVende (32 gebruikers)
Er is vastgesteld dat de extensies verschillende namen en logo’s omvatten, maar achter de schermen is de overgrote meerderheid ervan gepubliceerd door “WL Extensão” en zijn variant “WLExtensao”. Er wordt aangenomen dat de verschillen in branding het resultaat zijn van een franchisemodel waarmee de aangesloten bedrijven van de onderneming de Chrome Web Store kunnen overspoelen met verschillende klonen van de originele extensie aangeboden door een bedrijf genaamd DBX Tecnologia.
Deze add-ons beweren ook dat ze zich voordoen als CRM-tools (Customer Relationship Management) voor WhatsApp, waardoor gebruikers hun omzet kunnen maximaliseren via de webversie van de applicatie.
“Verander je WhatsApp in een krachtige tool voor verkoop- en contactbeheer. Met Zap Vende beschik je over een intuïtieve CRM, berichtautomatisering, bulkberichten, visuele verkooptrechter en nog veel meer”, luidt de beschrijving van ZapVende in de Chrome Web Store. “Organiseer uw klantenservice, volg leads en plan berichten op een praktische en efficiënte manier.”
DBX Tecnologia maakt volgens Socket reclame voor een white-label resellerprogramma waarmee potentiële partners de WhatsApp-webextensie kunnen rebranden en verkopen onder hun eigen merk, waarbij terugkerende inkomsten worden beloofd tussen R$30.000 en R$84.000 door te investeren in R$12.000.
Het is vermeldenswaard dat deze praktijk in strijd is met het spam- en misbruikbeleid van de Chrome Web Store, dat ontwikkelaars en hun partners verbiedt meerdere extensies in te dienen die dubbele functionaliteit op het platform bieden. DBX Tecnologia blijkt ook YouTube-video’s te hebben uitgebracht over het omzeilen van de antispam-algoritmen van WhatsApp bij het gebruik van de extensies.
“Het cluster bestaat uit vrijwel identieke kopieën verspreid over uitgeversaccounts, wordt op de markt gebracht voor ongevraagde outreach in bulk en automatiseert het verzenden van berichten binnen web.whatsapp.com zonder bevestiging van de gebruiker”, merkte Boychenko op. “Het doel is om bulkcampagnes draaiende te houden en tegelijkertijd antispamsystemen te omzeilen.”
De onthulling komt op het moment dat Trend Micro, Sophos en Kaspersky licht werpen op een grootschalige campagne die zich richt op Braziliaanse gebruikers met een WhatsApp-worm genaamd SORVEPOTEL die wordt gebruikt om een banktrojan met de codenaam Maverick te verspreiden.
