O ataque no WhatsApp voltou a chamar a atenção de especialistas em segurança digital após pesquisadores da Kaspersky identificarem uma nova campanha de malware que utiliza arquivos aparentemente inofensivos para comprometer computadores com Windows. O golpe se destaca por explorar a confiança entre contatos conhecidos e por empregar ferramentas legítimas para dificultar a detecção da invasão.
Diferentemente de campanhas tradicionais de phishing, os criminosos estão enviando arquivos que se passam por documentos comerciais, relatórios financeiros e faturas corporativas. Em muitos casos, as mensagens chegam por meio de contas já comprometidas de amigos, colegas de trabalho ou parceiros comerciais, aumentando significativamente as chances de a vítima abrir o arquivo sem suspeitar.
O alerta é especialmente relevante para o Brasil, um dos maiores mercados do WhatsApp no mundo e frequentemente alvo de campanhas de phishing no WhatsApp, roubo de credenciais e disseminação de malware. Entender como esse golpe funciona é fundamental para evitar prejuízos financeiros, vazamento de dados e até mesmo o controle remoto do computador por criminosos.
Como funciona o novo golpe do WhatsApp
A campanha identificada pelos pesquisadores segue uma estratégia relativamente simples, mas extremamente eficaz. Os criminosos primeiro comprometem contas de usuários legítimos e passam a enviar arquivos maliciosos para seus contatos.
Como a mensagem parece vir de uma pessoa conhecida, muitas vítimas ignoram os sinais de alerta. O arquivo costuma chegar acompanhado de textos curtos que simulam situações do ambiente corporativo, como envio de notas fiscais, contratos, comprovantes ou relatórios de vendas.
O objetivo é convencer o usuário a abrir o anexo sem questionamentos, iniciando toda a cadeia de infecção.
Imagem: Kaspersky
A armadilha do arquivo VBScript falso
O elemento central desse ataque no WhatsApp é o uso de arquivos VBScript (VBS).
O VBScript é uma linguagem de script criada pela Microsoft e integrada ao Windows há muitos anos. Embora tenha aplicações legítimas de automação, também é frequentemente explorada por criminosos para executar comandos maliciosos.
Para enganar as vítimas, os invasores utilizam nomes de arquivos que lembram documentos corporativos legítimos. Eles podem aparecer como faturas, relatórios financeiros, comprovantes ou outros documentos administrativos.
O problema é que, por trás desses nomes aparentemente inofensivos, existe um script capaz de executar comandos automaticamente assim que é aberto.
Muitos usuários acreditam estar clicando em um documento de texto ou planilha, quando na verdade estão iniciando a execução de um código que estabelece a comunicação com a infraestrutura dos criminosos.
WhatsApp Web vs. WhatsApp Desktop
Um detalhe técnico importante destacado pelos pesquisadores envolve as diferenças entre o WhatsApp Web e o WhatsApp Desktop.
No navegador, o usuário normalmente precisa realizar o download do arquivo antes de executá-lo. Isso cria uma etapa adicional que pode ajudar na identificação do golpe.
Já no aplicativo para desktop, o comportamento do sistema pode facilitar a abertura direta do arquivo por meio do Windows Script Host, processo executado pelo componente wscript.exe.
Na prática, isso significa que um clique descuidado pode iniciar imediatamente a execução do script malicioso.
Embora isso não transforme o WhatsApp Desktop em um software inseguro, o cenário mostra como os atacantes exploram funcionalidades legítimas do Windows para aumentar suas chances de sucesso.
Do clique à invasão: o uso do ManageEngine Endpoint Central
Depois que o arquivo malicioso é executado, começa uma sequência de ações cuidadosamente planejadas para garantir o controle do computador.
Inicialmente, o script tenta modificar configurações do sistema para reduzir os mecanismos de proteção do Windows. Entre os alvos está o Controle de Conta de Usuário (UAC), recurso responsável por solicitar confirmação quando alterações importantes são realizadas no sistema operacional.
Ao enfraquecer essas proteções, os criminosos conseguem executar etapas adicionais da infecção sem chamar a atenção da vítima.
Na sequência, o script realiza o download de um arquivo compactado em formato ZIP, que contém os componentes necessários para a próxima fase do ataque.
É nesse momento que surge um dos aspectos mais sofisticados da campanha.
Em vez de instalar imediatamente um malware tradicional, os invasores utilizam uma ferramenta legítima de administração corporativa chamada ManageEngine Endpoint Central.
A plataforma é amplamente utilizada por equipes de TI para gerenciamento remoto de computadores, distribuição de atualizações, inventário de ativos e suporte técnico.
O chamado “pulo do gato” dos criminosos está na configuração silenciosa dessa ferramenta para permitir acesso remoto ao equipamento comprometido.
Como o software possui uso legítimo em milhares de empresas ao redor do mundo, sua presença pode não despertar suspeitas imediatas em sistemas de segurança ou administradores menos atentos.
Na prática, o computador passa a ficar sob controle dos invasores, que podem executar comandos, coletar informações, instalar novos programas maliciosos e movimentar-se dentro de redes corporativas.
Pesquisadores também apontam semelhanças entre essa operação e atividades associadas a grupos que utilizam os trojans ValleyRAT e Gh0st, famílias de malware conhecidas por capacidades avançadas de espionagem e controle remoto.
Embora a atribuição definitiva ainda exija investigação adicional, os indícios sugerem uma campanha organizada e tecnicamente sofisticada.
Como se proteger de infecções por malware no WhatsApp
A melhor defesa contra esse tipo de golpe no WhatsApp continua sendo a combinação de atenção do usuário com boas práticas de segurança.
A primeira recomendação é desconfiar de anexos inesperados, mesmo quando enviados por pessoas conhecidas. Se um amigo ou colega encaminhar um documento fora do contexto habitual, vale a pena confirmar a autenticidade da mensagem por outro canal.
Também é importante evitar a execução de arquivos com extensões potencialmente perigosas, especialmente .vbs, .exe, .bat, .cmd e até mesmo arquivos .zip recebidos sem explicação clara.
Outra medida fundamental é manter o sistema operacional, navegador e antivírus sempre atualizados. Muitas campanhas de malware dependem da exploração de vulnerabilidades já corrigidas pelos fabricantes.
Os usuários do WhatsApp também devem ativar a verificação em duas etapas, recurso que dificulta o sequestro de contas e reduz as chances de que criminosos utilizem contatos legítimos para espalhar ataques.
Em ambientes corporativos, equipes de TI devem monitorar instalações não autorizadas de ferramentas de administração remota e revisar regularmente os controles de segurança do Windows.
A nova campanha de malware no WhatsApp demonstra que os criminosos continuam evoluindo suas técnicas para explorar a confiança dos usuários e ferramentas legítimas do sistema operacional. Um simples clique em um arquivo aparentemente inofensivo pode abrir as portas para uma invasão completa do computador.
Por isso, compartilhar esse alerta com amigos, familiares e colegas de trabalho pode ajudar a interromper a cadeia de infecção antes que mais contas sejam comprometidas. Se você já recebeu mensagens suspeitas com anexos incomuns pelo WhatsApp, compartilhe sua experiência nos comentários e ajude outros usuários a identificar sinais de alerta.
