No final de fevereiro de 2026 foi detectada uma campanha que aproveita mensagens do WhatsApp para distribuir arquivos maliciosos escritos em Visual Basic Script (VBS). Segundo pesquisadores da Microsoft, o vetor inicial são arquivos que, se o usuário os executa, desencadeiam uma cadeia de infecção em várias fases desenhada para permanecer no sistema e conceder acesso remoto aos atacantes. O que torna especialmente perigoso para esta operação é a mistura de engenharia social com o uso de ferramentas legítimas do próprio sistema e serviços na nuvem reconhecidos. Para entender o alcance e as implicações, convém dividir como funciona a intrusão e quais medidas tomar para reduzir o risco.
O ponto de partida — segundo a pesquisa — é o envio de um VBS pelo WhatsApp cujo conteúdo busca persuadir a vítima a executá-lo, embora a Microsoft ainda não tenha confirmado os senhões exatos que empregam os atacantes. Ao activar, o programa cria pastas escondidas dentro de C:\ProgramData e deposita versões remembradas de executáveis legítimos do Windows. Entre os ficheiros identificados são utilitários como curl.exe e bitsadmin.exe, mas com nomes falsos como netapi.dll e sc.exe para se confundir com o tráfego e os processos habituais do sistema.
Uma vez alcançado o acesso inicial, a campanha continua a baixar cargas úteis secundárias alojadas em serviços de armazenamento em nuvem amplamente utilizados. A Microsoft observou que os arquivos complementares VBS são obtidos a partir de plataformas como a Amazon S3, serviços de Tencent Cloud e Backblaze B2. Ao alojar componentes em infra-estruturas de confiança, os atacantes dificultam a detecção e beneficiam da reputação desses serviços para camuflar suas descargas maliciosas. Se você quer verificar por que esses fornecedores são comuns em abusos deste tipo, você pode ler a documentação pública do AWS S3 ( aws.amazon.com/s3), Tencent Cloud ( intl.cloud.tencent.com) e Backblaze B2 ( backblaze.com).
O propósito desses binários e scripts secundários é duplo: estabelecer persistência e escalar privilégios. Os atacantes tentam enfraquecer os mecanismos de controle de contas (UAC) para executar comandos com privilégios elevados. De acordo com a análise, o malware tenta lançar repetidamente cmd.exe com elevação até que o processo seja interrompido, além de modificar chaves do Registro sob HKLM\\Software\\ Microsoft\\Win para inserir mecanismos que sobrevivam reinícios. Este tipo de manipulação busca que o controle sobre a máquina não dependa da interação contínua do usuário.
Uma vez que alcançam privilégios elevados, os operadores instalam pacotes MSI sem assinar que proporcionam acessos remotos persistentes. Entre as ferramentas observadas em implantaçãos maliciosos figura AnyDesk, um software legítimo de acesso remoto que, nas mãos de um atacante, permite exfiltrar informações, executar ações adicionais ou implantar cargas úteis adicionais. Esta estratégia —utilizar software legítimo para alcançar objetivos maliciosos — é uma variante clássica das técnicas "living-off-the-land" e complica o trabalho de detecção porque muitas defesas tendem a permitir tráfego ou processos considerados rotineiras.
De uma perspectiva técnica e operacional, há duas lições importantes. A primeira é que o uso de utilitários renombrados faz com que o comportamento malicioso pareça ordinário em registros e tráfego de rede; por exemplo, baixar de S3 com uma cópia de curl renombrada não gera necessariamente os mesmos alertas que uma ferramenta externa desconhecida. A segunda é que alojar binários em plataformas de confiança reduz a probabilidade de as transferências serem bloqueadas por políticas de segurança que confiam implicitamente em domínios e endpoints conhecidos.
Para usuários e administradores isso traduz-se em recomendações práticas claras: não executar arquivos recebidos por mensagens instantâneas sem verificar, mesmo se vêm de contatos conhecidos; habilitar e manter atualizado um antivírus e soluções EDR; revisar políticas de execução de scripts e restrições sobre a instalação de software; auditar a execução de binários renomeados e monitorar modificações em chaves sensíveis do Registro e na configuração da UAC. A Microsoft publica orientações gerais e alertas de ameaças que podem ajudar a responder a incidentes e endurecer sistemas: Microsoft Security Blog e documentação das suas soluções de proteção endpoint ( learn.microsoft.com - Defender for Endpoint).
Também é útil conhecer os vectores de mensagens e suas opções de segurança: o WhatsApp dispõe de guias e dicas sobre como identificar mensagens suspeitas e proteger contas, que convém consultar se você recebe arquivos ou links inesperados ( Whatsapp - Segurança). Para os responsáveis por infra-estruturas, recursos como o quadro ATT&CK do MITRE ajudam a classificar e compreender as técnicas utilizadas pelos atacantes, incluindo o abuso de utilidades do sistema e o uso de armazenamento na nuvem como canal de entrega ( mitre.org/attack).
Se você suspeitar que um sistema foi comprometido por uma campanha deste tipo, não o apague imediatamente sem documentar o incidente, a menos que exista risco iminente; em muitos casos, as equipes de resposta recomendam isolar a máquina da rede, preservar registros e voltar memória se possível, e escalar uma equipe de resposta a incidentes ou o provedor de segurança. As agências nacionais de cibersegurança também publicam guias e alertas sobre ameaças emergentes; por exemplo, a agência estadunidense CISA mantém recursos para responder a campanhas que usam técnicas de persistência e acesso remoto ( cisa.gov - alerts).
Em suma, esta campanha reafirma uma tendência que os equipamentos de segurança vêm observando desde há anos: os atacantes combinam a confiança que geram ferramentas e serviços legítimos com senhões sociais para sortear defesas. A proteção efetiva não depende apenas de bloquear o óbvio, mas de identificar padrões atípicos em processos cotidianos e educar os usuários para que não tornem uma simples mensagem na porta de entrada de um compromisso maior. Manter sistemas atualizados, limitar a execução de scripts não verificados, monitorar mudanças críticas no Registro e na configuração da UAC, e aplicar controles de aplicação e comportamento continuam sendo medidas fundamentais para reduzir o impacto desse tipo de campanhas.
Para ampliar informações e ver alertas e análises adicionais sobre ameaças semelhantes, você pode consultar fontes especializadas em cibersegurança e notícias técnicas como BleepingComputer ou os comunicados oficiais e blogs dos fornecedores envolvidos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...