Uma campanha usa contas comprometidas para enviar arquivos maliciosos pelo WhatsApp. Entenda como o golpe funciona, por que ele consegue assumir o controle do Windows e quais cuidados podem evitar a infecção.
Carlos Valente, em Julho 15, 2026 | 90 visualizações | Tempo de leitura: 7 min - 1222 palavras.
Imagine a cena: você está no meio do seu dia de trabalho e recebe uma notificação no WhatsApp de um colega de longa data ou de um familiar. A mensagem contém apenas um arquivo anexo com um nome urgente, como uma fatura pendente ou um comprovante de transferência. O senso de urgência faz com que você clique para conferir o conteúdo imediatamente.
Em junho de 2026, essa ação rotineira e aparentemente inofensiva tornou-se o principal vetor de infecção para uma campanha global de malware altamente sofisticada. O ataque não explora uma falha de código no aplicativo, mas algo muito mais difícil de corrigir: a confiança que depositamos em nossa rede de contatos. Embora o impacto seja global, atingindo países como Brasil, Índia e México, a telemetria indica que o epicentro foi a Malásia, onde ocorreram 80% das infecções detectadas.
O ataque não explora uma falha de código no aplicativo, mas algo muito mais difícil de corrigir: a confiança que depositamos em nossa rede de contatos.
Diferentemente dos golpes tradicionais de phishing, que chegam por números desconhecidos, esta campanha utiliza contas reais de usuários que já foram comprometidas. Os criminosos ganham acesso a perfis legítimos e passam a disparar anexos maliciosos para toda a lista de contatos, focando especificamente nos usuários das versões WhatsApp Desktop e WhatsApp Web.
O ataque é direto e busca a máxima eficácia por meio do silêncio. Como observado em análises forenses de incidentes recentes, as mensagens enviadas não incluíam nenhum texto acompanhante.
Essa ausência de texto é uma tática de ofuscação comportamental. Ao receber um arquivo sem qualquer explicação de um amigo, a curiosidade faz com que a guarda do usuário baixe instantaneamente. Tecnicamente, o perigo começa no momento do clique: o processo WhatsApp.Root.exe invoca o WScript.exe (Windows Script Host), que passa a executar comandos maliciosos em segundo plano, sem que nenhuma janela de aviso apareça para a vítima.
Os atacantes utilizam engenharia social para nomear os arquivos, simulando documentos financeiros urgentes. O que torna o ataque globalmente perigoso é a localização dos nomes em diversos idiomas, incluindo português e malaio. Exemplos comuns incluem:
O perigo real reside na extensão .vbs. Diferentemente de um PDF, um arquivo VBScript é um script de automação que o Windows executa nativamente. Ao ser aberto, ele não exibe nenhum documento real. Em vez disso, executa uma série de estágios de infecção. Um detalhe revelador encontrado por analistas que examinaram o código é a presença de comentários em chinês simplificado e referências falsas ao Windows Update, uma tentativa deliberada de enganar peritos e fazer o script parecer um processo legítimo do sistema.
Esta campanha é um exemplo da técnica Living-off-the-Land (LOTL). Em vez de baixar programas suspeitos, o malware utiliza ferramentas que já existem no Windows para realizar o trabalho sujo, tornando-se praticamente um fantasma para antivírus tradicionais.
Para evitar a detecção, os criminosos escondem as ferramentas em pastas como C:\ProgramData ou C:\Users\Public\Documents e as renomeiam para parecerem arquivos de sistema. Veja a sofisticação da estratégia:
Ao hospedar os estágios finais em serviços de nuvem confiáveis, como AWS S3, Tencent Cloud e Backblaze B2, os atacantes garantem que o tráfego de rede pareça uma comunicação corporativa normal, passando despercebido por muitos firewalls.
O objetivo final da infecção é obter persistência no sistema por meio da instalação de um software de RMM (Remote Monitoring and Management), especificamente o ManageEngine Endpoint Central. Aqui está a ironia: o invasor utiliza uma ferramenta de TI legítima e assinada digitalmente para agir como um backdoor. Como o software é legítimo, ele raramente é bloqueado.
Para garantir o controle total, o malware entra em um ciclo para modificar o UAC (Controle de Conta de Usuário) no Registro do Windows, tentando silenciar todos os avisos de segurança que poderiam alertar o usuário sobre mudanças no sistema. A instalação ocorre de forma invisível, instalando silenciosamente o agente por meio do msiexec.exe.
Uma vez instalado, o invasor passa a ter os mesmos privilégios de um administrador de suporte técnico, podendo visualizar a tela, acessar arquivos e monitorar praticamente toda a atividade realizada no computador.
Como analista, reforço que a tecnologia, sozinha, não impedirá esse tipo de ataque. A principal mudança precisa ser comportamental. Siga estas diretrizes práticas:
A campanha de 2026 demonstra que os criminosos não precisam mais quebrar a segurança do Windows. Eles preferem que o próprio usuário abra a porta para eles. A sofisticação técnica, que envolve desde comentários em chinês até o abuso de serviços de nuvem como AWS, mostra que estamos lidando com operadores profissionais que exploram a falha humana mais básica: a confiança.
Na próxima vez que um amigo lhe enviar uma fatura inesperada, você terá o cuidado de confirmar a origem antes de clicar?
Para continuar acompanhando temas de segurança digital, inteligência artificial e riscos tecnológicos que afetam empresas e usuários, veja também estes conteúdos:
A Valente Soluções ajuda empresas e profissionais a avaliarem riscos digitais, protegerem ambientes de trabalho e adotarem práticas mais seguras no uso de aplicativos, sistemas e serviços online. Para conversar sobre proteção, prevenção e resposta a incidentes, fale conosco.
Nota: Todas as imagens utilizadas neste artigo foram geradas com o auxílio de inteligência artificial por meio do ChatGPT 5.5, Manus e Nano Banana 2, com o objetivo de ilustrar o conteúdo de forma didática e acessível aos nossos leitores.