Uma campanha usa contas comprometidas para enviar arquivos maliciosos pelo WhatsApp; Entenda como o golpe funciona, por que ele consegue assumir o controle do Windows e quais cuidados podem evitar a infecção.
Imagine a cena: você está no meio do seu dia de trabalho e recebe uma notificação no WhatsApp de um colega de longa data ou de um familiar. A mensagem contém apenas um arquivo anexo com um nome urgente, como uma fatura pendente ou um comprovante de transferência. O senso de urgência faz com que você clique para conferir o conteúdo imediatamente.
Em junho de 2026, essa ação rotineira e aparentemente inofensiva tornou-se o principal vetor de infecção para uma campanha global de malware altamente sofisticada. O ataque não explora uma falha de código no aplicativo, mas algo muito mais difícil de corrigir: a confiança que depositamos em nossa rede de contatos. Embora o impacto seja global, atingindo países como Brasil, Índia e México, a telemetria indica que o epicentro foi a Malásia, onde ocorreram 80% das infecções detectadas.
O ataque não explora uma falha de código no aplicativo, mas algo muito mais difícil de corrigir: a confiança que depositamos em nossa rede de contatos.
![]() Arquivos inesperados recebidos pelo WhatsApp podem esconder scripts maliciosos contra PCs com Windows. Imagem: ChatGPT 5.5, Manus e Nano Banana 2 |
O inimigo agora é outro: Quando seu contato é o vetor do ataque
Diferentemente dos golpes tradicionais de phishing, que chegam por números desconhecidos, esta campanha utiliza contas reais de usuários que já foram comprometidas. Os criminosos ganham acesso a perfis legítimos e passam a disparar anexos maliciosos para toda a lista de contatos, focando especificamente nos usuários das versões WhatsApp Desktop e WhatsApp Web.
O ataque é direto e busca a máxima eficácia por meio do silêncio. Como observado em análises forenses de incidentes recentes, as mensagens enviadas não incluíam nenhum texto acompanhante.
Essa ausência de texto é uma tática de ofuscação comportamental. Ao receber um arquivo sem qualquer explicação de um amigo, a curiosidade faz com que a guarda do usuário baixe instantaneamente. Tecnicamente, o perigo começa no momento do clique: o processo WhatsApp.Root.exe invoca o WScript.exe (Windows Script Host), que passa a executar comandos maliciosos em segundo plano, sem que nenhuma janela de aviso apareça para a vítima.
O lobo em pele de cordeiro: Por que .vbs não é um documento
Os atacantes utilizam engenharia social para nomear os arquivos, simulando documentos financeiros urgentes. O que torna o ataque globalmente perigoso é a localização dos nomes em diversos idiomas, incluindo português e malaio. Exemplos comuns incluem:
- Financial Reports.vbs
- Penyata bank.vbs (Extrato bancário em malaio)
- Extrato de Conciliação.vbs
- Aviso de dívida.vbs
O perigo real reside na extensão .vbs. Diferentemente de um PDF, um arquivo VBScript é um script de automação que o Windows executa nativamente. Ao ser aberto, ele não exibe nenhum documento real. Em vez disso, executa uma série de estágios de infecção. Um detalhe revelador encontrado por analistas que examinaram o código é a presença de comentários em chinês simplificado e referências falsas ao Windows Update, uma tentativa deliberada de enganar peritos e fazer o script parecer um processo legítimo do sistema.
![]() Arquivos .vbs podem ser executados nativamente pelo Windows e não funcionam como documentos comuns. Imagem: ChatGPT 5.5, Manus e Nano Banana 2 |
Vivendo da Terra: A arte de se esconder à vista de todos
Esta campanha é um exemplo da técnica Living-off-the-Land (LOTL). Em vez de baixar programas suspeitos, o malware utiliza ferramentas que já existem no Windows para realizar o trabalho sujo, tornando-se praticamente um fantasma para antivírus tradicionais.
Para evitar a detecção, os criminosos escondem as ferramentas em pastas como C:\ProgramData ou C:\Users\Public\Documents e as renomeiam para parecerem arquivos de sistema. Veja a sofisticação da estratégia:
- curl.exe: originalmente usado para transferências de dados, é renomeado para netapi.dll e utilizado para baixar scripts adicionais.
- bitsadmin.exe: ferramenta de administração de downloads, é disfarçada como sc.exe para recuperar componentes do ataque silenciosamente.
- certutil.exe: utilizado para baixar arquivos maliciosos hospedados em infraestruturas de nuvem legítimas.
Ao hospedar os estágios finais em serviços de nuvem confiáveis, como AWS S3, Tencent Cloud e Backblaze B2, os atacantes garantem que o tráfego de rede pareça uma comunicação corporativa normal, passando despercebido por muitos firewalls.
O sequestro silencioso: O que acontece após o clique
O objetivo final da infecção é obter persistência no sistema por meio da instalação de um software de RMM (Remote Monitoring and Management), especificamente o ManageEngine Endpoint Central. Aqui está a ironia: o invasor utiliza uma ferramenta de TI legítima e assinada digitalmente para agir como um backdoor. Como o software é legítimo, ele raramente é bloqueado.
Para garantir o controle total, o malware entra em um ciclo para modificar o UAC (Controle de Conta de Usuário) no Registro do Windows, tentando silenciar todos os avisos de segurança que poderiam alertar o usuário sobre mudanças no sistema. A instalação ocorre de forma invisível, instalando silenciosamente o agente por meio do msiexec.exe.
Uma vez instalado, o invasor passa a ter os mesmos privilégios de um administrador de suporte técnico, podendo visualizar a tela, acessar arquivos e monitorar praticamente toda a atividade realizada no computador.
![]() O abuso de ferramentas legítimas do Windows ajuda a esconder atividades maliciosas em tráfego aparentemente normal. Imagem: ChatGPT 5.5, Manus e Nano Banana 2 |
Leia também: MiniPlasma: Como uma falha de 2020 voltou para assombrar o Windows 11
Leia também: 206 vulnerabilidades corrigidas: o Patch Tuesday que entrou para a história
Leia também: Google libera mudança de endereço do Gmail no Brasil
Guia de sobrevivência digital: Como não ser a próxima vítima
Como analista, reforço que a tecnologia, sozinha, não impedirá esse tipo de ataque. A principal mudança precisa ser comportamental. Siga estas diretrizes práticas:
Exiba as extensões de arquivos no Windows: vá até as opções do Explorador de Arquivos e desmarque "Ocultar extensões para tipos de arquivos conhecidos". Assim, será possível identificar se um arquivo chamado fatura.pdf é, na verdade, fatura.pdf.vbs.
Bloqueie scripts suspeitos: nunca execute arquivos com extensões .vbs, .vbe, .bat ou .ps1 recebidos pelo WhatsApp. Documentos legítimos de trabalho não utilizam esses formatos.
Atenção redobrada ao UAC: se o computador solicitar permissão de administrador logo após a abertura de um arquivo recebido pelo WhatsApp, negue imediatamente.
Confirme por outro canal: recebeu um arquivo inesperado? Faça uma ligação ou envie uma mensagem para confirmar se a pessoa realmente enviou aquele documento.
Audite os dispositivos conectados: no WhatsApp do celular, revise regularmente a seção "Aparelhos Conectados" e desconecte qualquer sessão Web ou Desktop desconhecida.
Conclusão e reflexão final
A campanha de 2026 demonstra que os criminosos não precisam mais quebrar a segurança do Windows. Eles preferem que o próprio usuário abra a porta para eles. A sofisticação técnica, que envolve desde comentários em chinês até o abuso de serviços de nuvem como AWS, mostra que estamos lidando com operadores profissionais que exploram a falha humana mais básica: a confiança.
Na próxima vez que um amigo lhe enviar uma fatura inesperada, você terá o cuidado de confirmar a origem antes de clicar?
Carlos Valente
Valente Soluções em Informática
contato@valentesolucoes.com.br
Nota: Todas as imagens utilizadas neste artigo foram geradas com o auxílio de inteligência artificial por meio do ChatGPT 5.5, Manus e Nano Banana 2, com o objetivo de ilustrar o conteúdo de forma didática e acessível aos nossos leitores.






