Criminosos estão enviando arquivos maliciosos pelo WhatsApp para assumir o controle remoto de computadores com Windows. A campanha foi identificada em 22 de junho de 2026 e já atingiu vítimas no Brasil, no Reino Unido, na Índia, no México e em outros oito países. O ataque começa com uma mensagem direta na plataforma e termina com o invasor controlando o dispositivo da vítima silenciosamente.O golpe começa quando a vítima recebe uma mensagem pelo WhatsApp de um contato conhecido. O detalhe é que essa conta foi invadida anteriormente pelos criminosos, então a pessoa não desconfia da origem.A mensagem vem com um arquivo em anexo. Os nomes usados imitam documentos corporativos do dia a dia, como "Financial Reports.vbs", "Debt confirmation.vbs" ou "Outstanding Payment List.vbs". Alguns nomes aparecem em português, francês, alemão e malaio, o que indica que os criminosos adaptam o golpe para cada região.Conversas reais registradas durante a campanha mostram arquivos .vbs enviados por contas comprometidas, com vítimas relatando nas próprias conversas que não reconheceram o envio. Imagem: SOC Radar.A extensão ".vbs" identifica um tipo de arquivo de script do Windows. Ao ser aberto com um duplo clique, o Windows executa automaticamente as instruções contidas nele.O que acontece quando a vítima abre o arquivoAo abrir o arquivo, a vítima não vê nada acontecer na tela. Nos bastidores, porém, o script começa uma série de ações em etapas.Primeiro, ele cria uma pasta oculta no computador, geralmente dentro do caminho "C:\Users\Public\Documents". O nome da pasta parece aleatório ou imita uma atualização do Windows, para não chamar atenção.Plataformas de inteligência de ameaças monitoram credenciais comprometidas e logs de stealers para identificar contas que podem ser usadas em ataques de entrega via redes sociais. Imagem: SOC Radar.Em seguida, o script usa ferramentas legítimas do próprio Windows, como o curl.exe, para baixar mais arquivos da internet. Esses arquivos chegam com extensões falsas, como ".pdf" ou ".txt", e são renomeados para ".vbs" antes de serem executados. Basicamente, o ataque usa o próprio sistema operacional contra a vítima.Por que o ataque é difícil de detectarUma das etapas mais críticas envolve uma configuração de segurança do Windows chamada UAC, sigla para User Account Control. Isso é o painel que aparece perguntando "Você quer permitir que este aplicativo faça alterações no seu dispositivo?".O script tenta desativar esse aviso alterando uma configuração no registro do sistema. Isso significa que as próximas ações acontecem sem que o Windows peça confirmação da vítima.Cadeia de infecção em sete etapas da campanha WhatsApp VBScript, desde a criação do workspace até a conexão com servidores controlados pelos atacantes. Imagem: SOC Radar.Depois disso, o ataque baixa um arquivo compactado em formato ZIP. Dentro dele está um pacote de instalação completo de um software legítimo chamado ManageEngine Endpoint Central. Esse programa é normalmente usado por empresas de TI para gerenciar computadores remotamente.O software legítimo usado como armaOs criminosos não instalam um vírus tradicional, mas um software real, de uma empresa reconhecida. Ele é configurado para se conectar aos servidores deles, não no padrão.Isso é importante porque os sistemas de segurança reconhecem o ManageEngine como um software confiável. Ele tem certificados digitais válidos e um instalador legítimo. Para muitas ferramentas de proteção, a instalação parece completamente normal.O resultado é que os criminosos ganham acesso remoto total ao computador da vítima sem levantar suspeita imediata.O ataque explora ferramentas nativas do Windows para executar scripts maliciosos sem acionar alertas de segurança tradicionais.Quem está sendo atingidoAs vítimas identificadas até agora estão em pelo menos 11 países. A Malásia concentra a maior parte dos casos, com cerca de 80% das infecções registradas. Brasil, Índia, México, Cingapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã também aparecem na lista.O ataque não mira um setor específico. Qualquer pessoa que use o WhatsApp no computador e abra o arquivo pode ser infectada.Campanha usa arquivos de script disfarçados de documentos para criar pastas ocultas no sistema da vítima e baixar payloads adicionais da internet.O que fazer para se protegerA proteção mais simples é nunca abrir arquivos com extensões ".vbs" ou ".vbe" recebidos pelo WhatsApp, mesmo que venham de um contato conhecido. Contas podem ser invadidas, e o fato de a mensagem vir de alguém familiar não garante que é segura.Empresas precisam reforçar políticas que bloqueiem a execução de scripts recebidos por aplicativos de mensagens em computadores corporativos. Monitorar instalações inesperadas de software de gestão remota também é recomendado como medida preventiva.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.