Campanha de malware no WhatsApp disfarça documentos e usa VBScript para tomar controle de PCs
Uma nova onda de ataques digitais está explorando o WhatsApp como canal para disseminar arquivos maliciosos que se passam por documentos financeiros e corporativos. De acordo com pesquisadores da Kaspersky, criminosos têm enviado, por mensagens diretas, arquivos em formato Visual Basic Script (VBScript) camuflados como relatórios, extratos e outros materiais de negócios, com o objetivo final de instalar uma ferramenta legítima de administração remota (RMM – Remote Monitoring and Management) nos computadores das vítimas.
O foco principal da campanha são usuários do WhatsApp Desktop e do WhatsApp Web, versões do mensageiro usadas em computadores. Uma vez que o código malicioso é executado, a vítima abre as portas para que o invasor tenha acesso remoto ao sistema, podendo monitorar atividades, movimentar-se entre máquinas e executar comandos como se estivesse fisicamente à frente do computador.
Os ataques foram identificados em diversos países, entre eles Malásia, Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã. Até agora, a maior quantidade de vítimas confirmadas está na Malásia. O fato de os arquivos maliciosos usarem nomes em múltiplos idiomas – português, francês, alemão, malaio, entre outros – mostra que se trata de uma operação com alcance global, mas com forte adaptação local das iscas usadas para enganar diferentes públicos.
Fareed Radzi, pesquisador da Kaspersky, explica que os criminosos se apoiam em nomes muito convincentes para aumentar as chances de que o usuário baixe e execute o anexo. Os arquivos são apresentados como se fossem documentos comuns, trazendo títulos como “Financial Reports.vbs” ou “Account Statement.vbs”, sugerindo se tratar de relatórios financeiros, extratos bancários ou documentos de uso empresarial. A armadilha está na extensão “.vbs”, que indica um script executável do Windows, e não um arquivo de texto ou planilha.
A investigação aponta que os operadores dessa campanha obtiveram acesso indevido a diversas contas de WhatsApp, que passaram a ser usadas como ponto de partida para espalhar os arquivos maliciosos. Isso significa que muitas das mensagens chegam a partir de contatos conhecidos da vítima – colegas de trabalho, fornecedores, clientes ou amigos -, o que aumenta significativamente o nível de confiança e reduz a suspeita. Até o momento, porém, não se sabe com precisão como essas contas foram comprometidas inicialmente, se por senhas vazadas, engenharia social, malware anterior ou outras técnicas.
A cadeia de infecção começa de forma simples: a vítima recebe um arquivo VBScript por meio do WhatsApp. No caso do WhatsApp Web, o usuário precisa primeiro fazer o download do anexo e depois abri-lo manualmente, a partir da pasta de downloads ou pelo histórico do navegador, acreditando estar lidando com um documento comum. Já no WhatsApp Desktop, a execução ocorre a partir do próprio aplicativo, com a árvore de processos do sistema exibindo o “WhatsApp.Root.exe” – processo ligado ao cliente de desktop – iniciando o “WScript.exe”, o componente padrão do Windows responsável por rodar scripts VBScript.
Uma vez iniciado pelo WScript.exe, o script malicioso aciona uma sequência de infecção em múltiplas etapas. O primeiro estágio baixa e executa outros componentes VBScript hospedados em um servidor remoto controlado pelos criminosos. Entre esses módulos adicionais, há um que tenta interferir no funcionamento do User Account Control (UAC), mecanismo integrado ao Windows que controla a elevação de privilégios e busca impedir que ações administrativas sejam executadas sem o devido consentimento do usuário ou de um administrador. Outro módulo é encarregado de baixar e executar um arquivo ZIP que contém o pacote de instalação de uma solução de RMM específica: o ManageEngine RMM Central.
O elemento mais preocupante dessa campanha é justamente o uso de uma ferramenta de RMM legítima. Plataformas de Remote Monitoring and Management costumam ser adotadas por equipes internas de TI ou por provedores de serviços gerenciados para administrar remotamente estações de trabalho e servidores, aplicar atualizações, fazer inventário de ativos e realizar suporte técnico à distância. Nas mãos de criminosos, porém, esse mesmo tipo de software passa a funcionar como um “painel de controle” completo para o ambiente comprometido.
Ao se valerem de RMMs reais, os invasores podem estabelecer persistência no sistema, manter acesso mesmo após reinicializações, movimentar-se lateralmente para outras máquinas da rede, além de executar comandos, instalar programas adicionais e exfiltrar dados. Tudo isso sem necessariamente depender de uma família específica de malware, o que dificulta a detecção por soluções de segurança que tratam esse tipo de aplicação como confiável ou necessária para a operação de TI.
Essa tática – conhecida como abuso de ferramentas legítimas ou “living off trusted tools” – se baseia em um princípio simples: em vez de instalar um malware óbvio, os criminosos preferem se esconder por trás de softwares corporativos amplamente utilizados. Como consequência, alertas de segurança podem ser menos incisivos, e atividades suspeitas acabam passando despercebidas em meio ao fluxo normal de uso dessas ferramentas. Para equipes de Centros de Operações de Segurança (SOC) e de resposta a incidentes, a presença repentina de um RMM que não foi solicitado ou formalmente implantado deve ser enxergada como um sinal crítico de comprometimento.
Outro ponto que dificulta tanto a detecção quanto a análise é o nível de ofuscação dos scripts VBScript empregados na campanha. O código é intencionalmente embaralhado, com funções renomeadas, trechos sem aparente utilidade e estruturas complexas, tudo para atrasar e confundir analistas e ferramentas automatizadas. A Kaspersky identificou ainda que esses scripts trazem comentários extensos e metadados desenhados para se parecer com componentes autênticos do Microsoft Windows Update.
Grande parte desses comentários está em chinês e faz referência a módulos e processos relacionados a Windows Update, validação de certificados digitais, verificações de integridade do sistema e rotinas de implantação. A intenção é dar ao código uma “identidade” verossímil, sugerindo que ele faria parte de rotinas de atualização do sistema operacional. Em um ambiente de grande volume de dados e arquivos, essa camuflagem pode retardar a identificação correta do comportamento malicioso.
Embora os pesquisadores ainda não tenham atribuído a campanha a um grupo específico, foi observada sobreposição de infraestrutura com operações anteriores vinculadas ao Gh0st RAT e ao ValleyRAT, incluindo o uso do endereço IP 202.61.160[.]201. O Gh0st RAT, historicamente, é um trojan de acesso remoto (RAT) amplamente utilizado em campanhas de espionagem e controle de sistemas comprometidos. O ValleyRAT, por sua vez, também já foi associado a operações voltadas à obtenção de acesso remoto persistente, reforçando a hipótese de que os responsáveis tenham experiência prévia nesse tipo de ataque.
A escolha do WhatsApp como vetor dessa campanha não é casual. O mensageiro é amplamente usado em contextos profissionais, para troca de documentos de trabalho, contratos, planilhas e informações financeiras. Em muitos ambientes, substitui parcialmente o e-mail em comunicações rápidas com clientes e fornecedores. Isso cria o cenário perfeito para que um arquivo com nome aparentemente legítimo passe despercebido, principalmente quando enviado por alguém que a vítima reconhece e com quem já mantém uma relação de confiança.
Além disso, usuários tendem a associar WhatsApp a um ambiente mais “informal” e menos técnico, o que pode diminuir o nível de desconfiança diante de extensões de arquivo desconhecidas. Pouca gente, por exemplo, presta atenção se o arquivo termina em “.docx”, “.pdf” ou “.vbs”. Em muitos casos, basta um duplo clique para que o ataque comece, sem qualquer compreensão do que está de fato sendo executado.
Para empresas e profissionais que usam o WhatsApp em processos de trabalho, a campanha expõe uma fragilidade importante: a ausência de controles claros sobre quais canais podem ser usados para o envio de arquivos críticos ou sensíveis. Em organizações onde não há uma política definida, documentos financeiros, dados de clientes e informações estratégicas acabam circulando livremente por aplicativos de mensagem, abrindo espaço para golpes que exploram justamente essa desorganização.
Uma medida prática é estabelecer políticas internas que limitem o uso de mensageiros para o compartilhamento de arquivos executáveis e documentos críticos. Pastas de rede, plataformas corporativas de colaboração e sistemas de gestão de documentos, em geral, permitem maior controle, registro de atividades e integração com ferramentas de segurança, como antivírus corporativo e soluções de detecção de comportamento anômalo.
Do ponto de vista técnico, equipes de TI podem adotar regras de bloqueio específico para scripts como VBScript nas estações de trabalho, especialmente em setores administrativos onde esse tipo de arquivo quase nunca é necessário. Controles de aplicação (application control), políticas de execução restrita e monitoramento de processos ligados ao WScript.exe e a ferramentas de RMM são passos importantes para reduzir o impacto desse tipo de campanha.
Outro aspecto essencial é o endurecimento do próprio UAC e das permissões de usuário. Em muitos ambientes, colaboradores trabalham com contas com privilégios administrativos locais por conveniência, o que torna muito mais fácil para um script malicioso desabilitar proteções, instalar softwares e fazer alterações profundas no sistema. A aplicação do princípio do privilégio mínimo – conceder apenas as permissões estritamente necessárias – continua sendo uma das defesas mais eficazes contra ataques baseados em scripts e instalação de ferramentas de controle remoto.
Treinamento de usuários também desempenha papel central na prevenção. É importante que funcionários e profissionais autônomos compreendam que arquivos com extensões como “.vbs”, “.js”, “.bat”, “.cmd” ou “.exe” não são documentos comuns e, em geral, não devem ser abertos se vierem por mensageiros ou e-mail, especialmente quando não foram solicitados. Simulações internas de phishing e campanhas de conscientização podem ajudar a criar o hábito de verificar o tipo de arquivo antes de abrir qualquer anexo.
No cenário doméstico, boas práticas seguem a mesma lógica: desconfiar de qualquer arquivo inesperado, mesmo se enviado por pessoas conhecidas; confirmar, por outro canal, se o contato realmente enviou aquele anexo; manter o sistema operacional e o antivírus atualizados; e evitar executar arquivos cujo formato não seja claramente entendido. Caso um arquivo suspeito já tenha sido aberto, é recomendável desconectar a máquina da internet, executar uma varredura completa com solução de segurança confiável e, se possível, buscar apoio profissional para avaliar se houve instalação de ferramentas de acesso remoto.
Para equipes de segurança, detectar a presença de RMMs como o ManageEngine RMM Central em máquinas onde eles não deveriam estar se tornou um indicador valioso de possíveis intrusões. Inventários atualizados de software, monitoramento de novas instalações e correlação de eventos de rede podem ajudar a identificar rapidamente essa anomalia. Uma vez constatada a instalação indevida, é fundamental isolar o equipamento, analisar logs de atividade e verificar se houve movimentação lateral ou extração de dados.
Essa campanha ilustra uma tendência cada vez mais forte no cenário de ameaças: o uso criativo de ferramentas legítimas e de canais de comunicação populares para burlar barreiras tradicionais de segurança. Em vez de apostar em arquivos executáveis grosseiros e fáceis de identificar, criminosos optam por scripts discretos, camuflagem inteligente e abuso de softwares empresariais amplamente difundidos. Nesse contexto, a combinação de tecnologia, políticas internas claras e educação dos usuários se torna indispensável para reduzir a superfície de ataque e responder rapidamente a incidentes.