Golpistas usam arquivos falsos no WhatsApp para instalar acesso remoto em PCs via VBScript
Uma nova campanha de malware em andamento está explorando mensagens privadas no WhatsApp para espalhar arquivos em VBScript disfarçados de documentos empresariais e financeiros. De acordo com pesquisadores da Kaspersky, o foco principal são usuários do WhatsApp Desktop e do WhatsApp Web, com um objetivo bem definido: instalar uma ferramenta legítima de Remote Monitoring and Management (RMM) para assumir o controle remoto do computador da vítima.
A operação vem sendo observada em diversos países, entre eles Malásia, Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã. Até agora, a maior concentração de vítimas foi registrada na Malásia. Os criminosos utilizam nomes de arquivos em vários idiomas – incluindo português, francês, alemão e malaio – o que indica um ataque planejado para atingir diferentes regiões, com iscas adaptadas ao idioma e ao contexto local.
Segundo o pesquisador Fareed Radzi, da Kaspersky, os golpistas se apoiam em nomes de arquivos cuidadosamente escolhidos para enganar os usuários e levá-los a baixar e abrir os anexos. Esses arquivos se passam por documentos corporativos comuns, com títulos como “Financial Reports.vbs” e “Account Statement.vbs”, sugerindo relatórios financeiros, extratos de conta e outros arquivos típicos de rotina de negócios. A extensão “.vbs”, porém, revela que não se trata de um documento, e sim de um script executável do Windows.
A investigação indica que os operadores da campanha conseguiram acesso indevido a diversas contas do WhatsApp, que são então usadas como ponto de partida para o envio dos arquivos maliciosos. Isso faz com que as mensagens infecciosas cheguem às vítimas a partir de contatos conhecidos, o que aumenta significativamente a chance de que o anexo seja visto como legítimo e seja executado. Até o momento, entretanto, ainda não há clareza sobre o método inicial usado pelos criminosos para comprometer essas contas.
A cadeia de ataque começa no momento em que a vítima recebe o arquivo em VBScript pelo aplicativo. No WhatsApp Web, o usuário precisa baixar manualmente o anexo e executá-lo a partir da pasta de downloads ou do histórico de downloads do navegador, acreditando estar abrindo um simples documento de trabalho. No caso do WhatsApp Desktop, a execução acontece dentro do próprio contexto do aplicativo: a árvore de processos do sistema mostra o “WhatsApp.Root.exe” (processo associado ao cliente de desktop) acionando o “WScript.exe”, componente legítimo do Windows responsável por rodar scripts.
A partir do momento em que o WScript.exe é acionado, o VBScript inicia uma infecção em múltiplos estágios. O primeiro script faz o download e executa outros componentes em VBScript hospedados em um servidor remoto controlado pelos atacantes. Um desses módulos tenta manipular o funcionamento do User Account Control (UAC), o mecanismo de segurança do Windows que serve para controlar elevação de privilégios e aprovar ações administrativas. Outro componente baixa e executa um arquivo ZIP que contém o instalador do ManageEngine RMM Central.
O uso de uma solução RMM legítima é peça-chave dessa campanha. Ferramentas de Remote Monitoring and Management são bastante comuns em ambientes corporativos: equipes de TI e prestadores de serviços gerenciados utilizam essas plataformas para administrar máquinas à distância, distribuir atualizações, monitorar ativos e realizar atividades de suporte técnico. Nas mãos de invasores, porém, o mesmo tipo de software se transforma em um canal poderoso para manter persistência no sistema, operar o computador remotamente, se movimentar dentro da rede interna e executar comandos sem recorrer a um malware complexo ou altamente customizado.
Essa abordagem se encaixa na técnica conhecida como abuso de ferramentas legítimas, muitas vezes chamada também de “living off trusted tools”. Em vez de instalar malwares clássicos, que podem ser rapidamente identificados por antivírus e outras soluções de segurança, os criminosos preferem se apoiar em programas corporativos reais, normalmente classificados como confiáveis. Isso torna a detecção mais difícil, pois o tráfego e os processos gerados por essas ferramentas tendem a parecer “normais” em um ambiente de trabalho. Para equipes de SOC e de resposta a incidentes, a presença de um RMM que não faz parte do inventário oficial de TI ou que surgiu sem um processo formal de implantação deve ser encarada como um forte indicador de comprometimento.
Os scripts utilizados na campanha são pesadamente ofuscados, o que complica a vida de analistas e dificulta detectar rapidamente o comportamento malicioso. Além disso, a Kaspersky notou que as amostras em VBScript estão recheadas de comentários e metadados criados para imitar componentes legítimos do Microsoft Windows Update. Muitos desses comentários aparecem em chinês e fazem referência a módulos do Windows Update, validação de certificados, checagem de integridade do sistema e outras funções associadas à implantação de atualizações. O objetivo é claro: mascarar o código malicioso como se fosse parte de um mecanismo oficial do sistema operacional.
Embora ainda não haja atribuição formal a um grupo específico, os pesquisadores identificaram sobreposição de infraestrutura com campanhas anteriores ligadas ao Gh0st RAT e ao ValleyRAT, incluindo o uso do endereço 202.61.160[.]201. O Gh0st RAT é historicamente conhecido como um trojan de acesso remoto utilizado em diversas operações maliciosas ao longo dos anos, enquanto o ValleyRAT também já foi observado em campanhas voltadas ao controle remoto de sistemas comprometidos.
Por que o golpe é tão perigoso para usuários comuns e empresas
O ataque combina três fatores que aumentam muito o risco: uso de um aplicativo extremamente popular (WhatsApp), exploração de confiança entre contatos e adoção de ferramentas corporativas legítimas como arma. Usuários que trabalham com documentos financeiros, propostas comerciais ou contratos são mais suscetíveis a abrir anexos com nomes que remetem ao dia a dia profissional, o que torna o golpe especialmente eficaz em ambientes corporativos e entre profissionais autônomos.
Uma vez instalado, o RMM dá ao invasor praticamente o mesmo poder de um técnico de suporte autorizado: ele pode ver a tela, controlar o mouse e o teclado, instalar ou remover programas, copiar arquivos, criar novos usuários e alterar configurações de segurança. Em um cenário empresarial, isso abre caminho para roubo de dados sensíveis, implantação de ransomware, espionagem corporativa e até sabotagem de sistemas críticos.
Diferenças de risco entre WhatsApp Web e Desktop
Embora o vetor de entrada seja o mesmo – um anexo em VBScript – há diferenças importantes entre o uso do WhatsApp Web e do WhatsApp Desktop. No navegador, o usuário ainda precisa dar dois passos: baixar o arquivo e depois localizá-lo na pasta de downloads para executá-lo. Já no cliente para desktop, a integração com o sistema operacional é maior e a execução tende a acontecer de forma mais natural, dentro do fluxo de uso do aplicativo, o que pode reduzir a percepção de risco. Para o usuário leigo, a associação entre o processo “WhatsApp.Root.exe” e a execução do WScript.exe passa totalmente despercebida.
Como reconhecer arquivos suspeitos em VBScript
Apesar de o golpe usar nomes convincentes, há sinais que podem ajudar a identificar a ameaça:
– Arquivos de “documento” com extensão .vbs, .js ou .wsf em vez de .pdf, .docx ou .xlsx.
– Nomes em inglês ou em outro idioma que destoam do padrão de comunicação habitual do contato.
– Envio inesperado de “relatórios financeiros”, “balanços” ou “extratos” sem contexto ou explicação prévia.
– Pressão para abrir o arquivo rapidamente, com mensagens do tipo “preciso disso urgente” ou “veja isso antes da reunião”.
Ao perceber qualquer uma dessas situações, o mais seguro é não abrir o arquivo, confirmar com o contato por outro canal (telefone, por exemplo) e excluir a mensagem.
Boas práticas para reduzir o impacto desse tipo de ataque
Para usuários domésticos:
– Desconfiar de qualquer anexo executável recebido por WhatsApp, mesmo vindo de pessoas conhecidas.
– Exibir sempre as extensões dos arquivos no Windows para perceber quando algo não é um documento comum.
– Manter sistema operacional, navegador, WhatsApp e antivírus sempre atualizados.
– Evitar executar scripts ou instaladores recebidos por mensageiros sem saber exatamente do que se trata.
Para empresas:
– Bloquear por política de segurança a execução de scripts desconhecidos, como arquivos .vbs, em estações de trabalho comuns.
– Manter um inventário rigoroso das ferramentas de RMM autorizadas; qualquer novo agente encontrado deve ser investigado.
– Implementar soluções de monitoramento que detectem o uso anômalo de WScript.exe e comandos de instalação remota.
– Treinar funcionários para reconhecer tentativas de engenharia social via aplicativos de mensagem, inclusive em desktops corporativos.
O papel do UAC e por que os invasores tentam burlá-lo
O User Account Control (UAC) é uma camada de proteção que obriga o usuário a autorizar ações com impacto elevado no sistema, como instalação de programas e mudanças de configuração. Scripts maliciosos muitas vezes tentam alterar a forma como o UAC se comporta ou enganar o usuário para obter essa autorização. Ao manipular o UAC, os criminosos aumentam as chances de conseguir privilégios administrativos sem chamar tanta atenção, abrindo caminho para a instalação silenciosa do RMM e outras ferramentas.
Desafios para analistas de segurança
A forte ofuscação dos scripts, somada ao uso de comentários e metadados que se passam por componentes do Windows Update, aumenta o tempo necessário para análise e atrasa a criação de assinaturas eficazes. Como o tráfego gerado pelo RMM e pelos scripts pode se misturar a atividades legítimas, as equipes de segurança precisam recorrer a correlações de eventos, análise de comportamento e verificação de anomalias no ambiente para distinguir o que é uso normal do que é abuso malicioso.
O que fazer se você suspeitar que foi infectado
Se houver desconfiança de que um arquivo em VBScript recebido pelo WhatsApp foi executado:
1. Desconecte o computador da internet para interromper o controle remoto.
2. Rode uma varredura completa com uma solução de segurança confiável.
3. Verifique a lista de programas instalados e procure por ferramentas de acesso remoto que você não reconheça.
4. Troque senhas usadas naquele computador, priorizando e-mail, serviços bancários e redes sociais.
5. Em ambientes corporativos, comunique imediatamente a equipe de TI ou segurança para investigação mais profunda.
Tendência: mensageiros como vetor de ataques avançados
O caso mostra como mensageiros populares, antes vistos apenas como canais de golpe simples (como phishing ou clonagem de contas), passaram a ser usados em campanhas mais sofisticadas que combinam engenharia social, scripts ofuscados e abuso de ferramentas corporativas. Com o crescimento do uso do WhatsApp em rotinas de trabalho – inclusive para troca de documentos -, a linha entre uso pessoal e profissional fica cada vez mais tênue, ampliando a superfície de ataque e exigindo uma mudança de mentalidade de usuários e empresas quanto à segurança nesses canais.
Ao se apoiar em VBScript, UAC, RMM legítimo e engenharia social direcionada, essa campanha ilustra bem o cenário atual de ameaças: menos “vírus barulhentos” e mais ataques silenciosos, desenhados para se misturar ao ambiente e permanecer o máximo de tempo possível sem serem notados.