){kind=link}
Criminosos estão enviando arquivos maliciosos pelo WhatsApp para assumir o controle remoto de computadores com Windows. A campanha foi identificada em 22 de junho de 2026 e já atingiu vítimas no Brasil, no Reino Unido, na Índia, no México e em outros oito países. O ataque começa com uma mensagem direta na plataforma e termina com o invasor controlando o dispositivo da vítima silenciosamente.
O golpe começa quando a vítima recebe uma mensagem pelo WhatsApp de um contato conhecido. O detalhe é que essa conta foi invadida anteriormente pelos criminosos, então a pessoa não desconfia da origem.
smart_display
Nossos vídeos em destaque
A mensagem vem com um arquivo em anexo. Os nomes usados imitam documentos corporativos do dia a dia, como “Financial Reports.vbs”, “Debt confirmation.vbs” ou “Outstanding Payment List.vbs”. Alguns nomes aparecem em português, francês, alemão e malaio, o que indica que os criminosos adaptam o golpe para cada região.
A extensão “.vbs” identifica um tipo de arquivo de script do Windows. Ao ser aberto com um duplo clique, o Windows executa automaticamente as instruções contidas nele.
O que acontece quando a vítima abre o arquivo
Ao abrir o arquivo, a vítima não vê nada acontecer na tela. Nos bastidores, porém, o script começa uma série de ações em etapas.
Primeiro, ele cria uma pasta oculta no computador, geralmente dentro do caminho “C:\Users\Public\Documents”. O nome da pasta parece aleatório ou imita uma atualização do Windows, para não chamar atenção.
)
Em seguida, o script usa ferramentas legítimas do próprio Windows, como o curl.exe, para baixar mais arquivos da internet. Esses arquivos chegam com extensões falsas, como “.pdf” ou “.txt”, e são renomeados para “.vbs” antes de serem executados. Basicamente, o ataque usa o próprio sistema operacional contra a vítima.
Por que o ataque é difícil de detectar
Uma das etapas mais críticas envolve uma configuração de segurança do Windows chamada UAC, sigla para User Account Control. Isso é o painel que aparece perguntando “Você quer permitir que este aplicativo faça alterações no seu dispositivo?”.
O script tenta desativar esse aviso alterando uma configuração no registro do sistema. Isso significa que as próximas ações acontecem sem que o Windows peça confirmação da vítima.
)
Depois disso, o ataque baixa um arquivo compactado em formato ZIP. Dentro dele está um pacote de instalação completo de um software legítimo chamado ManageEngine Endpoint Central. Esse programa é normalmente usado por empresas de TI para gerenciar computadores remotamente.
O software legítimo usado como arma
Os criminosos não instalam um vírus tradicional, mas um software real, de uma empresa reconhecida. Ele é configurado para se conectar aos servidores deles, não no padrão.
Isso é importante porque os sistemas de segurança reconhecem o ManageEngine como um software confiável. Ele tem certificados digitais válidos e um instalador legítimo. Para muitas ferramentas de proteção, a instalação parece completamente normal.
O resultado é que os criminosos ganham acesso remoto total ao computador da vítima sem levantar suspeita imediata.
)
Quem está sendo atingido
As vítimas identificadas até agora estão em pelo menos 11 países. A Malásia concentra a maior parte dos casos, com cerca de 80% das infecções registradas. Brasil, Índia, México, Cingapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã também aparecem na lista.
O ataque não mira um setor específico. Qualquer pessoa que use o WhatsApp no computador e abra o arquivo pode ser infectada.
)
O que fazer para se proteger
A proteção mais simples é nunca abrir arquivos com extensões “.vbs” ou “.vbe” recebidos pelo WhatsApp, mesmo que venham de um contato conhecido. Contas podem ser invadidas, e o fato de a mensagem vir de alguém familiar não garante que é segura.
Empresas precisam reforçar políticas que bloqueiem a execução de scripts recebidos por aplicativos de mensagens em computadores corporativos. Monitorar instalações inesperadas de software de gestão remota também é recomendado como medida preventiva.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.