Uma campanha de phishing em larga escala está usando contas comprometidas do WhatsApp para distribuir malware que dá acesso remoto total ao computador da vítima. O Brasil está entre os países mais afetados, segundo a Kaspersky. A tática é simples e eficaz: arquivos falsos de documentos empresariais, enviados por contatos conhecidos, infectam a máquina em segundos.
Como o ataque funciona na prática
O ataque começa de forma silenciosa. Um contato do WhatsApp — cuja conta já foi hackeada — envia um arquivo com extensão .vbs disfarçado de documento comercial. Os nomes variam entre faturas, extratos bancários, avisos de cobrança e comprovantes de pagamento, todos traduzidos para o idioma do alvo. No caso do Brasil, os nomes aparecem em português.
Quando a vítima abre o arquivo no Windows, o VBScript inicial cria um diretório de trabalho em C:\Users\Public\Documents\ e faz o download de dois scripts adicionais a partir da infraestrutura do atacante. Esses scripts secundários desativam as proteções do UAC (User Account Control) por meio de modificações no Registro do Windows e baixam um arquivo ZIP contendo o software legítimo ManageEngine Endpoint Central.
O ManageEngine é uma ferramenta legítima de administração remota usada por equipes de TI para gerenciar estações de trabalho a partir de um painel centralizado. O problema é que a instalação é configurada silenciosamente para conectar a servidores controlados pelos atacantes, transformando uma ferramenta de gestão corporativa em um canal de acesso remoto completo ao computador da vítima.
WhatsApp Web vs. Desktop
Um detalhe técnico relevante distingue o comportamento entre as duas plataformas. Quando o arquivo é recebido via WhatsApp Web, ele precisa ser baixado manualmente antes de ser executado. Já no cliente WhatsApp Desktop, o VBScript pode ser executado diretamente pelo Windows Script Host (wscript.exe), sem necessidade de download explícito. Isso torna o ataque na versão desktop significativamente mais perigoso e mais difícil de detectar.
A diferença existe porque o cliente desktop do WhatsApp integra-se mais profundamente com o sistema operacional Windows, permitindo que o Windows Script Host processe o arquivo .vbs assim que a vítima clica nele. Essa diferença técnica é um fator de risco relevante para usuários que utilizam o aplicativo nativo do Windows no dia a dia.
Brasil entre os principais alvos
Os dados de telemetria da Kaspersky GReAT revelam que a campanha atinge pelo menos 12 países: Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia, Vietnã, Malásia e Alemanha. A Malásia lidera em número de vítimas identificadas, mas o Brasil aparece como um dos alvos prioritários na América Latina — coerente com a penetração massiva do WhatsApp no país.
| País | Região | Risco |
|---|---|---|
| Malásia | Sudeste Asiático | Mais vítimas |
| Brasil | América Latina | Alvo prioritário |
| Índia | Ásia Meridional | Alvo prioritário |
| México | América Latina | Alvo ativo |
| Alemanha | Europa | Alvo ativo |
A escolha do Brasil como alvo não é coincidência. Com mais de 165 milhões de usuários ativos, o WhatsApp é o principal canal de comunicação profissional e pessoal do brasileiro. Empresas, escritórios de advocacia, contadores e pequenos negócios usam o aplicativo para trocar documentos fiscais e contratos. Essa cultura digital torna a população brasileira especialmente vulnerável a ataques que mimetizam documentos comerciais legítimos.
Vínculos com APTs chinesas
A pesquisa da BleepingComputer, que primeiro divulgou os detalhes técnicos do ataque, aponta que a Kaspersky identificou indícios do uso de língua chinesa na infraestrutura do atacante, além de sobreposição de endereços IP previamente associados a atividades dos malwares ValleyRAT e Gh0st RAT. Contudo, os pesquisadores consideram as evidências insuficientes para uma atribuição com alto nível de confiança.
O padrão de comportamento — campanhas multilíngues, infraestrutura distribuída e uso de ferramentas legítimas para acesso remoto — é consistente com grupos de crimeware sofisticados que operam com o modus operandi de APTs (Advanced Persistent Threats). A diferença é que, neste caso, o foco parece ser criminoso-financeiro, não espionagem governamental.
Como se proteger do ataque
- Nunca abra arquivos .vbs, .vbe, .exe, .bat, .cmd, .js ou .ps1 recebidos pelo WhatsApp — mesmo de contatos de confiança.
- Se um contato enviar um documento inesperado, confirme por outro canal (ligação, SMS) antes de abrir qualquer anexo.
- Bloqueie a execução de VBScript via Group Policy em redes corporativas.
- Monitore instalações não autorizadas de ferramentas de gerenciamento remoto como ManageEngine.
- Mantenha o antivírus atualizado — os scripts dessa campanha não possuem técnicas avançadas de evasão.
Para empresas, a recomendação inclui o uso de soluções de EDR (Endpoint Detection and Response), que conseguem detectar tanto a execução do script malicioso quanto a instalação silenciosa do agente de administração remota.
WhatsApp no alvo dos criminosos
Este não é o primeiro ataque direcionado ao WhatsApp com impacto no Brasil. Em 2026, o NSO Group tentou explorar vulnerabilidades do aplicativo para realizar phishing avançado, e campanhas anteriores já abusaram da plataforma para distribuir malware como o TCLBanker, que se propagava automaticamente via WhatsApp e Outlook.
A tendência é preocupante. Como já discutimos aqui sobre ataques de phishing com domínios fraudulentos, a confiança que depositamos em mensagens de contatos conhecidos é o vetor de ataque mais explorado por criminosos digitais. O WhatsApp, por ser o aplicativo de mensagens mais usado no Brasil, é o alvo preferencial — e os atacantes estão ficando melhores em disfarçar anexos maliciosos como documentos comerciais rotineiros.
Referências
- BleepingComputer — WhatsApp phishing attack uses fake business docs to hack PCs (Bill Toulas, 22 de junho de 2026)
- Kaspersky — Kaspersky uncovers a new massive campaign spreading malware via WhatsApp (22 de junho de 2026)
- ManageEngine Endpoint Central — Página oficial