A Microsoft emitiu um alerta sobre uma nova campanha cibernética que está utilizando o WhatsApp como vetor de distribuição de arquivos maliciosos escritos em Visual Basic Script (VBS).
- Leia também: FCC proíbe roteadores estrangeiros: entenda os riscos de segurança cibernética
- Leia também: Como criar um site profissional do zero (sem precisar saber programar)
- Leia também: Como recuperar dados de SSD: guia completo e atualizado
A ameaça, identificada pelo Microsoft Defender Security Research Team, representa um risco real para usuários do Windows — e combina técnicas sofisticadas para escapar da detecção.
Como o ataque funciona
A campanha, ativa desde o final de fevereiro de 2026, utiliza os scripts VBS como ponto de partida de uma cadeia de infecção em múltiplos estágios. O objetivo final é garantir persistência no sistema comprometido e abrir uma porta de acesso remoto para os atacantes.
O processo começa quando a vítima recebe — e executa — um arquivo VBS enviado via WhatsApp. Até o momento, não se sabe exatamente quais iscas são usadas para convencer os usuários a abrir esses arquivos.
Após a execução inicial, o malware cria pastas ocultas em C:\ProgramData e deposita versões renomeadas de utilitários legítimos do Windows, como o curl.exe (disfarçado como netapi.dll) e o bitsadmin.exe (renomeado para sc.exe). Essa técnica de renomear ferramentas do sistema operacional é conhecida como living off the land e serve para se misturar ao tráfego normal do ambiente.
Infraestrutura em nuvem como aliada dos atacantes
Com o acesso inicial estabelecido, o malware baixa payloads secundários hospedados em serviços de nuvem legítimos — AWS S3, Tencent Cloud e Backblaze B2. Usar plataformas confiáveis é uma estratégia deliberada: o tráfego de rede para esses destinos raramente levanta suspeitas em ferramentas de monitoramento convencionais.
Em seguida, o ataque parte para a escalada de privilégios. O malware manipula as configurações do Controle de Conta de Usuário (UAC) do Windows, altera entradas de registro em HKLM\Software\Microsoft\Win e tenta repetidamente executar o cmd.exe com privilégios elevados — insistindo até obter sucesso ou ser interrompido à força.
Esse conjunto de ações permite que os invasores ganhem controle administrativo do sistema sem qualquer interação do usuário, instalando pacotes MSI não assinados que incluem ferramentas de acesso remoto legítimas, como o AnyDesk. A partir daí, os atacantes podem exfiltrar dados ou instalar malwares adicionais à vontade.
Por que essa ameaça é particularmente perigosa
A combinação de engenharia social (entrega pelo WhatsApp), técnicas de ocultação (uso de ferramentas legítimas renomeadas e atributos ocultos) e hospedagem de payloads em serviços de nuvem reconhecidos torna essa campanha especialmente difícil de detectar e bloquear com métodos tradicionais.
Segundo a equipe de segurança da Microsoft, a campanha demonstra um nível elevado de sofisticação técnica e operacional — e não deve ser subestimada por usuários corporativos ou domésticos.
Como se proteger
- Nunca execute arquivos recebidos pelo WhatsApp sem verificar a fonte com total confiança, especialmente arquivos
.vbs,.bat,.exeou.msi. - Mantenha o Windows e seu antivírus sempre atualizados.
- Habilite políticas de UAC no nível máximo e considere o uso de soluções de EDR (Endpoint Detection & Response).
- Monitore conexões de saída para serviços de nuvem fora do padrão da sua organização.
- Oriente sua equipe sobre os riscos de engenharia social — o elo mais fraco quase sempre é humano.
Fontes: Microsoft Defender Security Research Team, The Hacker News
