Ataque de phishing no WhatsApp usa documentos falsos para infectar PCs com malware

Como o ataque de phishing no WhatsApp se espalha por meio de documentos falsos

Uma campanha global de phishing está explorando contas comprometidas do WhatsApp para distribuir arquivos maliciosos, transformando conversas aparentemente legítimas em portas de entrada para invasões. Os invasores sequestram contas de usuários e enviam mensagens contendo arquivos VBScript altamente ofuscados, que são disfarçados como documentos comerciais e financeiros — como faturas, relatórios financeiros ou extratos bancários. Ao abrir esses arquivos, a vítima desencadeia uma cadeia de infecção que pode resultar no controle remoto de seu computador.

A estratégia de disfarce é sofisticada: os nomes dos arquivos são adaptados ao idioma local de cada vítima, o que amplia a eficácia do golpe. Por exemplo, um usuário no Brasil pode receber um arquivo chamado “relatorio_financeiro_2024.vbs”, enquanto um usuário na Espanha pode receber “factura_empresa_enero.vbs”. Essa personalização aumenta a probabilidade de o destinatário abrir o arquivo, acreditando tratar-se de uma comunicação legítima de um contato conhecido.

O ataque não se limita a um único país. Segundo dados de telemetria, a campanha já foi detectada em nações como Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia, Vietnã e Malásia. A amplitude geográfica sugere uma operação coordenada, com recursos suficientes para adaptar mensagens e arquivos para múltiplos idiomas e contextos regionais.

O papel do VBScript na infecção inicial

O ponto de entrada do malware é um arquivo VBScript ofuscado, que chega até a vítima por meio de uma mensagem do WhatsApp enviada de uma conta comprometida. Quando a vítima baixa e executa o arquivo, o script age como um vetor de ataque inicial. Em sistemas Windows, o VBScript pode ser executado diretamente pelo interpretador Windows Script Host (wscript.exe), especialmente quando a vítima usa o WhatsApp Desktop.

No entanto, o modo de entrega do arquivo influencia como a infecção ocorre. Se o usuário receber o arquivo pelo WhatsApp Web, será necessário baixá-lo e abri-lo manualmente — um passo adicional que pode reduzir a eficácia do ataque. Por outro lado, no cliente desktop, o arquivo pode ser executado automaticamente, facilitando a infecção. Essa diferença destaca a importância de usar a versão desktop do aplicativo com configurações de segurança atualizadas.

Uma vez executado, o VBScript baixa dois scripts adicionais do servidor do atacante. Esses scripts são responsáveis por desabilitar as proteções do Controle de Conta de Usuário (UAC) por meio de modificações no Registro do Windows. A desativação do UAC é crucial para que o malware possa instalar e executar outros componentes sem levantar suspeitas ou pedir permissão ao usuário.

Instalação silenciosa do ManageEngine Endpoint Central

Após desativar as defesas do sistema, o próximo passo da cadeia de infecção é a instalação do software ManageEngine Endpoint Central. Embora se trate de uma ferramenta legítima usada por administradores de TI para gerenciar dispositivos remotamente, os atacantes a utilizam como um cavalo de Troia. O software é baixado em um arquivo ZIP do servidor do invasor e instalado silenciosamente no computador da vítima.

O que torna esse ataque particularmente perigoso é a forma como o ManageEngine Endpoint Central é configurado após a instalação. Em vez de se conectar aos servidores legítimos da ferramenta, o software é redirecionado para servidores controlados pelos atacantes. Isso permite que os invasores assumam o controle remoto do dispositivo da vítima, executando comandos, acessando arquivos e monitorando atividades — tudo como se fossem administradores legítimos do sistema.

Essa técnica demonstra um alto nível de sofisticação, pois os atacantes não apenas exploram vulnerabilidades técnicas, mas também abusam de ferramentas legítimas para ocultar suas atividades. O uso de software de gerenciamento remoto legítimo dificulta a detecção por soluções de segurança tradicionais, que podem considerar o tráfego de rede como atividade administrativa normal.

O impacto da infecção e os riscos para as vítimas

Uma vez que o atacante obtém acesso remoto ao computador da vítima, os riscos são significativos e multifacetados. Os invasores podem roubar dados sensíveis, como informações de login, documentos confidenciais, históricos de navegação ou dados financeiros. Além disso, podem instalar outros tipos de malware, como ransomware, keyloggers ou spyware, ampliando ainda mais o impacto da invasão.

Outro risco crítico é a possibilidade de os atacantes usarem o dispositivo comprometido como ponto de entrada para redes corporativas. Se a vítima for um funcionário de uma empresa, o invasor pode se mover lateralmente dentro da infraestrutura da organização, acessando servidores, bancos de dados e sistemas internos. Isso pode resultar em vazamentos de dados em larga escala, interrupção de operações ou até mesmo ataques de ransomware contra a empresa.

O aspecto mais preocupante é que, até o momento, o método exato usado para comprometer as contas do WhatsApp permanece desconhecido. Isso indica que os atacantes podem estar explorando vulnerabilidades não documentadas, técnicas de engenharia social avançada ou até mesmo o roubo de credenciais em outras plataformas. Sem saber como as contas são sequestradas, fica difícil para os usuários se protegerem completamente contra esse vetor de ataque.

Por que o WhatsApp é um alvo atraente para campanhas de phishing

O WhatsApp é uma plataforma ideal para campanhas de phishing devido à sua ampla adoção global e à confiança que os usuários depositam em suas mensagens. Ao contrário de e-mails, que muitas vezes são filtrados por sistemas de segurança, as mensagens do WhatsApp chegam diretamente ao dispositivo do usuário, muitas vezes com notificações pop-up que chamam a atenção imediata.

Além disso, o aplicativo é usado tanto para comunicação pessoal quanto profissional, o que torna mais fácil para os atacantes disfarçar mensagens maliciosas como comunicações legítimas. Por exemplo, um atacante pode se passar por um colega de trabalho enviando um “relatório financeiro urgente” ou por um fornecedor enviando uma “nova fatura”. A familiaridade do remetente — que, na verdade, é uma conta comprometida — aumenta a probabilidade de a vítima abrir o arquivo.

Outro fator é a integração do WhatsApp com outros serviços e dispositivos. Muitos usuários acessam o aplicativo em seus smartphones, tablets e até mesmo em computadores por meio do WhatsApp Web ou do cliente desktop. Essa multiplicidade de pontos de entrada amplia as oportunidades para os atacantes disseminarem seus arquivos maliciosos.

Como os usuários podem se proteger contra esse tipo de ataque

A prevenção começa com a conscientização. Os usuários devem ser cautelosos ao receber arquivos ou links inesperados, mesmo que pareçam vir de contatos conhecidos. É importante verificar a legitimidade da mensagem com o remetente por outro canal, como uma ligação ou mensagem de voz, antes de abrir qualquer anexo.

Outra medida crucial é manter o sistema operacional e os aplicativos atualizados. No caso do Windows, garantir que as proteções do UAC estejam ativadas e que o sistema esteja configurado para receber atualizações de segurança automaticamente pode reduzir o risco de exploração de vulnerabilidades conhecidas. Além disso, desabilitar a execução automática de scripts VBScript, quando possível, pode impedir que arquivos maliciosos sejam executados sem o conhecimento do usuário.

O uso de soluções de segurança robustas também é fundamental. Antivírus e firewalls atualizados podem detectar e bloquear arquivos maliciosos antes que eles sejam executados. Ferramentas de monitoramento de comportamento, como sistemas de detecção de intrusão (IDS), podem identificar atividades suspeitas, como tentativas de desativar o UAC ou conexões a servidores desconhecidos.

Por fim, os usuários devem evitar baixar arquivos de fontes não confiáveis e nunca executar scripts ou programas de origem desconhecida. Mesmo arquivos com extensões aparentemente inofensivas, como .vbs, .js ou .exe, podem conter código malicioso. Sempre que possível, abra arquivos suspeitos em um ambiente isolado, como uma máquina virtual, para avaliar seu comportamento sem colocar o sistema principal em risco.

O que as empresas devem fazer para mitigar o risco

Para organizações, o risco não se limita aos funcionários individuais, mas se estende à infraestrutura corporativa. As empresas devem implementar políticas rígidas de segurança para o uso de ferramentas de mensageria, como o WhatsApp, especialmente em dispositivos que acessam redes internas. Isso pode incluir a proibição do uso do aplicativo em dispositivos corporativos ou a implementação de soluções de gerenciamento de dispositivos móveis (MDM) para monitorar e restringir o acesso.

Além disso, é essencial treinar os funcionários para reconhecer tentativas de phishing e relatar incidentes suspeitos imediatamente. Programas de conscientização em segurança cibernética devem incluir exemplos de ataques recentes, como o uso de documentos falsos para distribuir malware, e simulações de phishing para testar a prontidão da equipe.

As empresas também devem adotar uma abordagem de segurança em camadas, combinando proteção de endpoint, monitoramento de rede e resposta a incidentes. Soluções de proteção avançada, como EDR (Endpoint Detection and Response), podem detectar comportamentos suspeitos em tempo real e isolar dispositivos comprometidos antes que o ataque se espalhe.

Outra medida importante é restringir as permissões de software de gerenciamento remoto. Embora ferramentas como o ManageEngine Endpoint Central sejam essenciais para a administração de TI, elas devem ser configuradas para operar apenas em redes internas e com listas de permissões estritas. Conexões externas devem ser monitoradas de perto e bloqueadas sempre que possível.

O que os administradores de TI devem monitorar para detectar essa ameaça

Os administradores de TI devem estar atentos a sinais de comprometimento que possam indicar a presença desse tipo de malware. Um dos primeiros indicadores é a execução de scripts VBScript ou JavaScript em estações de trabalho, especialmente em horários incomuns ou a partir de contas de usuário não administrativas. A desativação do UAC ou modificações suspeitas no Registro também são sinais de alerta que devem ser investigados imediatamente.

Outro indicador crítico é a presença de conexões de saída a servidores desconhecidos ou domínios que não fazem parte da infraestrutura legítima da empresa. Ferramentas de monitoramento de rede podem detectar esses comportamentos e alertar a equipe de segurança antes que o ataque se espalhe.

Além disso, os administradores devem revisar logs de eventos do Windows, especialmente aqueles relacionados ao Windows Script Host (wscript.exe) e ao PowerShell. A execução de scripts em segundo plano ou a instalação silenciosa de software devem ser investigadas como possíveis sinais de comprometimento. Implementar regras de correlação de eventos em sistemas de SIEM (Security Information and Event Management) pode ajudar a identificar padrões suspeitos em tempo real.

O futuro das campanhas de phishing e o que esperar

À medida que as defesas de segurança melhoram, os atacantes também evoluem suas técnicas. Campanhas como a que explora o WhatsApp e o VBScript são apenas um exemplo de como o phishing está se tornando mais sofisticado, combinando engenharia social, abuso de ferramentas legítimas e exploração de vulnerabilidades. No futuro, é provável que vejamos um aumento no uso de IA para personalizar mensagens de phishing, tornando-as ainda mais convincentes e difíceis de detectar.

Outra tendência preocupante é o uso crescente de plataformas de mensageria e colaboração, como Slack, Microsoft Teams e Discord, como vetores de ataque. Essas plataformas, que são essenciais para o trabalho remoto e a comunicação empresarial, também oferecem oportunidades para os atacantes se passarem por colegas ou superiores e distribuírem arquivos maliciosos.

Para se manterem protegidos, os usuários e as empresas devem adotar uma postura proativa, combinando conscientização, tecnologia e políticas de segurança robustas. A colaboração entre fabricantes de software, provedores de serviços e usuários finais será fundamental para combater a evolução das ameaças cibernéticas.

Conclusão

O ataque recente que usa o WhatsApp para distribuir arquivos VBScript disfarçados de documentos comerciais destaca a importância de permanecer vigilante em um cenário de ameaças em constante evolução. Embora a campanha seja global e utilize técnicas avançadas, a maioria dos riscos pode ser mitigada com práticas básicas de segurança, como verificar a origem de mensagens suspeitas, manter sistemas atualizados e usar ferramentas de segurança confiáveis.

Para as empresas, a lição é clara: a segurança não pode depender apenas de uma camada de proteção. É necessário um esforço coordenado para educar funcionários, monitorar atividades suspeitas e implementar defesas em profundidade. Enquanto os atacantes continuarem a explorar a confiança e a familiaridade dos usuários, a conscientização e a preparação serão as melhores armas contra o phishing e outras formas de ciberataques.