O que esta acontecendo

Segundo o relato do BleepingComputer, uma campanha ativa de malware usa o WhatsApp para enganar usuarios em varios paises. A mecanica e simples e perigosa: a vitima recebe uma mensagem de um contato aparentemente conhecido, mas esse contato teve a conta comprometida. Junto da mensagem vem um arquivo .vbs, um script do Microsoft Windows, apresentado como se fosse um documento de negocios.

A telemetria foi registrada pela Kaspersky em paises como Brasil, India, Mexico, Singapura, Reino Unido, Espanha, Taiwan, Australia, Russia, Vietna e Malasia. O detalhe que torna a campanha eficaz e a confianca: quando o arquivo chega de um contato real, a chance de alguem abrir sem pensar duas vezes aumenta bastante.

Como o golpe funciona

O ataque parte de mensagens enviadas por contas ja comprometidas no WhatsApp. De acordo com a analise citada, essas mensagens trazem um arquivo .vbs com codigo ofuscado, dificil de ser lido por uma pessoa. Os nomes dos arquivos imitam documentos comuns de trabalho, como relatorios financeiros, cobranças, avisos de conta e comunicados parecidos.

Quando a pessoa baixa e executa o anexo, ela dispara a cadeia de infeccao. O resultado descrito e a instalacao do ManageEngine Endpoint Central, uma ferramenta legitima usada por administradores de TI para gerenciar computadores a distancia. O problema nao esta na ferramenta, e sim no desvio: nas maos dos criminosos, ela abre a porta para o acesso remoto ao PC da vitima.

Sinais de alerta

Redobre a atencao sempre que uma mensagem no WhatsApp trouxer um arquivo inesperado, ainda que venha de alguem conhecido.

• Arquivo VBS: se o anexo terminar em .vbs, nao trate como documento comum.
• Assunto financeiro: nomes ligados a relatorio, fatura, cobrança, conta ou aviso financeiro pedem verificacao antes da abertura.
• Mensagem curta demais: o texto pode vir quase vazio, apenas com o anexo.
• Idioma localizado: os nomes dos arquivos foram adaptados para diferentes idiomas, o que reforça a aparencia legitima.
• Contato conhecido agindo estranho: se a pessoa nunca costuma enviar esse tipo de arquivo, confirme por outro canal.

Como se proteger

A defesa mais eficaz e nao executar arquivos recebidos fora de contexto. Antes de abrir qualquer anexo do WhatsApp, confirme com o remetente por ligacao, chamada de video ou outro canal confiavel. Em empresas, oriente as equipes de financeiro, compras, vendas e atendimento, ja que os nomes usados no golpe imitam justamente documentos corporativos.

Se voce abriu um arquivo suspeito, pare de usar o computador para atividades sensiveis, avise a equipe de TI e relate a possivel instalacao de software de acesso remoto. Tambem vale alertar o contato que enviou a mensagem, porque a conta dele pode estar comprometida e propagando o golpe para outras pessoas.

Checklist pratico

1. Nao abra arquivos .vbs recebidos pelo WhatsApp, mesmo quando vierem de contatos conhecidos.
2. Confirme documentos financeiros ou empresariais por outro canal antes de baixar ou executar.
3. Se abriu o arquivo, desconecte o PC da rede, acione o suporte de TI e informe o possivel acesso remoto.

Perguntas frequentes

O WhatsApp foi invadido nessa campanha?

O material informado descreve o uso de contas comprometidas para enviar mensagens maliciosas. Nao ha indicacao, nos trechos fornecidos, de falha na plataforma WhatsApp em si.

O que e um arquivo VBS?

De forma simples, e um arquivo de script capaz de executar comandos no Microsoft Windows. Por isso, ele nunca deve ser tratado como um documento comum.

O ManageEngine Endpoint Central e malware?

Nao. Ele e uma ferramenta legitima de administracao remota. O risco descrito esta no desvio de uso depois que a vitima executa o arquivo malicioso.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://www.bleepingcomputer.com/news/security/whatsapp-phishing-attack-uses-fake-business-docs-to-hack-pcs/