Golpe no WhatsApp para PC.

Arquivos contendo malware são disfarçados como documentos comuns ; a investigação da Kaspersky identificou vítimas em diversas regiões, incluindo o Brasil.

A Kaspersky identificou uma campanha de malware em larga escala que está atingindo usuários da versão para computador do WhatsApp e da versão web do aplicativo. O golpe utiliza anexos maliciosos enviados por mensagens diretas a partir de contas do WhatsApp que já foram comprometidas por criminosos.

A campanha foi descoberta em junho de 2026 pela Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. Segundo a empresa, usuários de diversos países e territórios foram afetados, com a Malásia registrando o maior número de vítimas observadas.

Diferentemente de campanhas tradicionais de phishing, os criminosos estão enviando arquivos que se passam por documentos comerciais, relatórios financeiros e faturas corporativas. Em muitos casos, as mensagens chegam por meio de contas já comprometidas de amigos, colegas de trabalho ou parceiros comerciais, aumentando significativamente as chances de a vítima abrir o arquivo sem suspeitar.

O alerta é especialmente relevante para o Brasil, um dos maiores mercados do WhatsApp no mundo e frequentemente alvo de campanhas de phishing no WhatsApp, roubo de credenciais e disseminação de malware. Entender como esse golpe funciona é fundamental para evitar prejuízos financeiros, vazamento de dados e até mesmo o controle remoto do computador por criminosos.

De acordo com a companhia, os criminosos utilizam contas comprometidas para enviar arquivos maliciosos aos contatos já cadastrados pela vítima. Como as mensagens partem de pessoas conhecidas, as chances de os destinatários abrirem os anexos aumentam significativamente.

Os arquivos são disfarçados como documentos comuns do ambiente corporativo, incluindo faturas, extratos bancários, demonstrativos de conta, comprovantes de pagamento e avisos de cobrança de dívidas.

A Kaspersky também identificou nomes de arquivos em vários idiomas, entre eles português, inglês, francês, alemão e malaio. Isso indica que a campanha tem alcance internacional e mira usuários de diferentes regiões, especialmente na Europa.

Para tornar o golpe mais convincente, os arquivos maliciosos incluem comentários e informações que imitam componentes do serviço de atualização do Windows, dando aparência de legitimidade.

Arquivo VBScript falso

O elemento central desse ataque no WhatsApp é o uso de arquivos VBScript (VBS).

O VBScript é uma linguagem de script criada pela Microsoft e integrada ao Windows há muitos anos. Embora tenha aplicações legítimas de automação, também é frequentemente explorada por criminosos para executar comandos maliciosos.

Para enganar as vítimas, os invasores utilizam nomes de arquivos que lembram documentos corporativos legítimos. Eles podem aparecer como faturas, relatórios financeiros, comprovantes ou outros documentos administrativos.

O problema é que, por trás desses nomes aparentemente inofensivos, existe um script capaz de executar comandos automaticamente assim que é aberto.

Muitos usuários acreditam estar clicando em um documento de texto ou planilha, quando na verdade estão iniciando a execução de um código que estabelece a comunicação com a infraestrutura dos criminosos.

Ao abrir o arquivo, a vítima não vê nada acontecer na tela. Nos bastidores, porém, o script começa uma série de ações em etapas.

Primeiro, ele cria uma pasta oculta no computador, geralmente dentro do caminho “C:\Users\Public\Documents”. O nome da pasta parece aleatório ou imita uma atualização do Windows, para não chamar atenção.

Em seguida, o script usa ferramentas legítimas do próprio Windows, como o curl.exe, para baixar mais arquivos da internet. Esses arquivos chegam com extensões falsas, como “.pdf” ou “.txt”, e são renomeados para “.vbs” antes de serem executados. Basicamente, o ataque usa o próprio sistema operacional contra a vítima.
Uma das etapas mais críticas envolve uma configuração de segurança do Windows chamada UAC, sigla para User Account Control. Isso é o painel que aparece perguntando “Você quer permitir que este aplicativo faça alterações no seu dispositivo?”.

Esse tipo de programa é normalmente utilizado por equipes de tecnologia para suporte e administração de computadores. No entanto, quando instalado pelos criminosos, ele pode permitir acesso remoto ao equipamento infectado, dando aos invasores controle sobre o sistema.

A investigação identificou vítimas em diversos países e territórios, incluindo Malásia, Brasil, Singapura, Taiwan e Vietnã. Entre eles, a Malásia apresentou o maior número de casos observados pela empresa.

WhatsApp Web vs. WhatsApp Desktop

Um detalhe técnico importante destacado pelos pesquisadores envolve as diferenças entre o WhatsApp Web e o WhatsApp Desktop.

No navegador, o usuário normalmente precisa realizar o download do arquivo antes de executá-lo. Isso cria uma etapa adicional que pode ajudar na identificação do golpe.

Já no aplicativo para desktop, o comportamento do sistema pode facilitar a abertura direta do arquivo por meio do Windows Script Host, processo executado pelo componente wscript.exe.

Na prática, isso significa que um clique descuidado pode iniciar imediatamente a execução do script malicioso.

Embora isso não transforme o WhatsApp Desktop em um software inseguro, o cenário mostra como os atacantes exploram funcionalidades legítimas do Windows para aumentar suas chances de sucesso.

ManageEngine Endpoint Central

Depois que o arquivo malicioso é executado, começa uma sequência de ações cuidadosamente planejadas para garantir o controle do computador.

Inicialmente, o script tenta modificar configurações do sistema para reduzir os mecanismos de proteção do Windows. Entre os alvos está o Controle de Conta de Usuário (UAC), recurso responsável por solicitar confirmação quando alterações importantes são realizadas no sistema operacional.

Ao enfraquecer essas proteções, os criminosos conseguem executar etapas adicionais da infecção sem chamar a atenção da vítima.

Na sequência, o script realiza o download de um arquivo compactado em formato ZIP, que contém os componentes necessários para a próxima fase do ataque.

É nesse momento que surge um dos aspectos mais sofisticados da campanha.

Em vez de instalar imediatamente um malware tradicional, os invasores utilizam uma ferramenta legítima de administração corporativa chamada ManageEngine Endpoint Central.

A plataforma é amplamente utilizada por equipes de TI para gerenciamento remoto de computadores, distribuição de atualizações, inventário de ativos e suporte técnico.

O chamado “pulo do gato” dos criminosos está na configuração silenciosa dessa ferramenta para permitir acesso remoto ao equipamento comprometido.

Como o software possui uso legítimo em milhares de empresas ao redor do mundo, sua presença pode não despertar suspeitas imediatas em sistemas de segurança ou administradores menos atentos.

Na prática, o computador passa a ficar sob controle dos invasores, que podem executar comandos, coletar informações, instalar novos programas maliciosos e movimentar-se dentro de redes corporativas.

Pesquisadores também apontam semelhanças entre essa operação e atividades associadas a grupos que utilizam os trojans ValleyRAT e Gh0st, famílias de malware conhecidas por capacidades avançadas de espionagem e controle remoto.

Embora a atribuição definitiva ainda exija investigação adicional, os indícios sugerem uma campanha organizada e tecnicamente sofisticada.

Como se proteger de infecções por malware no WhatsApp

A melhor defesa contra esse tipo de golpe no WhatsApp continua sendo a combinação de atenção do usuário com boas práticas de segurança. A Kaspersky orienta os usuários a terem cautela ao receber anexos inesperados pelo WhatsApp, mesmo quando eles são enviados por contatos conhecidos. A empresa também recomenda não abrir arquivos de script ou programas executáveis, como .vbs, .vbe, .exe, .bat, .cmd, .js e .ps1, sem confirmar sua autenticidade por outros meios.

A primeira recomendação é desconfiar de anexos inesperados, mesmo quando enviados por pessoas conhecidas. Se um amigo ou colega encaminhar um documento fora do contexto habitual, vale a pena confirmar a autenticidade da mensagem por outro canal.

Também é importante evitar a execução de arquivos com extensões potencialmente perigosas, especialmente .vbs, .exe, .bat, .cmd e até mesmo arquivos .zip recebidos sem explicação clara.

Outra medida fundamental é manter o sistema operacional, navegador e antivírus sempre atualizados. Muitas campanhas de malware dependem da exploração de vulnerabilidades já corrigidas pelos fabricantes.

Os usuários do WhatsApp também devem ativar a verificação em duas etapas, recurso que dificulta o sequestro de contas e reduz as chances de que criminosos utilizem contatos legítimos para espalhar ataques.

Em ambientes corporativos, equipes de TI devem monitorar instalações não autorizadas de ferramentas de administração remota e revisar regularmente os controles de segurança do Windows.

A nova campanha de malware no WhatsApp demonstra que os criminosos continuam evoluindo suas técnicas para explorar a confiança dos usuários e ferramentas legítimas do sistema operacional. Um simples clique em um arquivo aparentemente inofensivo pode abrir as portas para uma invasão completa do computador.

Por isso, compartilhar esse alerta com amigos, familiares e colegas de trabalho pode ajudar a interromper a cadeia de infecção antes que mais contas sejam comprometidas. Se você já recebeu mensagens suspeitas com anexos incomuns pelo WhatsApp, compartilhe sua experiência nos comentários e ajude outros usuários a identificar sinais de alerta.

Fonte: SempreUpdate & maiscelular & TecMundo

Clique e fale com representante oficial Netwrix Endpoint Protector