Facebook Twitter Youtube
Facebook Twitter Youtube

Ataque Sofisticado Via WhatsApp Usa Ferramentas do Windows para Espionar Usuários, Alerta Microsoft Defender

Cecilia Ferraz

Pesquisadores do Microsoft Defender identificaram uma campanha de malware ativa e altamente sofisticada, iniciada no final de fevereiro de 2026, que utiliza o WhatsApp como vetor principal. O ataque emprega arquivos de Visual Basic Script (VBS) para disparar uma cadeia de infecção multifacetada, culminando na instalação de ferramentas de acesso remoto que permitem aos cibercriminosos espionar e controlar os sistemas das vítimas. Esta técnica ressalta a crescente audácia dos atacantes em explorar a confiança do usuário e a infraestrutura legítima para fins maliciosos.

WhatsApp: A Porta de Entrada para a Ameaça

A campanha começa de forma insidiosa: a vítima recebe e executa um arquivo com extensão .vbs através do WhatsApp. A escolha do aplicativo não é aleatória; a alta confiança que as pessoas depositam no WhatsApp, especialmente ao receber arquivos de contatos conhecidos, reduz significativamente a resistência do usuário em abri-los. Uma vez executado, o script VBS cria pastas ocultas em C:ProgramData e copia para elas versões renomeadas de utilitários legítimos do Windows. Por exemplo, o curl.exe é disfarçado como netapi.dll e o bitsadmin.exe como sc.exe.

Ao assumirem nomes associados a componentes comuns do sistema, essas ferramentas se camuflam na atividade normal do ambiente operacional, dificultando a detecção. No entanto, os atacantes deixam um rastro: os metadados PE (Portable Executable) dos binários permanecem intactos, o que significa que o campo OriginalFileName ainda os identifica como curl.exe e bitsadmin.exe. Essa discrepância é um sinal crucial que soluções de segurança como o Microsoft Defender conseguem usar para detecção.

A Complexa Cadeia de Infecção: De Scripts a Acesso Remoto

A infecção se desenrola em múltiplas fases, cada uma construindo a base para a próxima, até que o acesso remoto completo seja estabelecido. Essa abordagem em etapas garante robustez e discrição ao ataque.

Payload em Nuvem: O Segredo da Discrição

Com a presença inicial estabelecida e as ferramentas renomeadas em mãos, o malware utiliza esses binários para baixar ‘droppers’ secundários, como auxs.vbs e WinUpdate_KB5034231.vbs. O detalhe crucial é que esses arquivos estão hospedados em plataformas de nuvem amplamente utilizadas e confiáveis, como AWS S3, Tencent Cloud e Backblaze B2.

Essa escolha não é meramente técnica; é uma estratégia para evadir a segurança. O tráfego direcionado a essas plataformas raramente aciona alertas em firewalls e proxies corporativos, já que o acesso a elas faz parte da rotina legítima de muitas organizações. Assim, o download malicioso se dissolve no volume de atividade normal da rede, demonstrando uma tendência preocupante no cibercrime de incriminar infraestruturas confiáveis para aumentar a furtividade dos ataques.

Bypass de Segurança e Persistência no Sistema

Após a execução dos droppers secundários, o malware passa a adulterar configurações cruciais do sistema. O alvo principal é o valor de registro ConsentPromptBehaviorAdmin, localizado em HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem. Ao modificar esse parâmetro, o malware suprime os prompts do Controle de Conta de Usuário (UAC), o mecanismo do Windows que solicita confirmação antes de executar ações com privilégios administrativos.

Na prática, o sistema passa a conceder elevação silenciosa de privilégios. O malware entra em um ciclo de tentativas para iniciar o cmd.exe com privilégios elevados até obter sucesso, e insere entradas de persistência no Registro para garantir que a infecção sobreviva a reinicializações. Isso assegura que o acesso do atacante ao sistema seja duradouro e discreto.

AnyDesk: O Objetivo Final do Ataque

Na etapa final, a campanha distribui instaladores MSI sem assinatura digital, com nomes como Setup.msi, WinRAR.msi, LinkPoint.msi e AnyDesk.msi. A ausência de um certificado de assinatura de código é um indicador relevante de atividade maliciosa, pois softwares corporativos legítimos, especialmente ferramentas de acesso remoto como o AnyDesk, normalmente carregam uma assinatura de editor verificável.

O AnyDesk, uma ferramenta legítima de acesso remoto, quando instalado desta forma, fornece ao atacante acesso persistente e silencioso ao sistema comprometido. A partir daí, o leque de ações possíveis inclui exfiltração de dados sensíveis, implantação de malware adicional ou até mesmo a incorporação da máquina a uma rede maior de dispositivos infectados. O uso de pacotes MSI também serve para imitar práticas legítimas de implantação de software corporativo, o que reduz a suspeita de usuários e administradores que observam a instalação.

Como Proteger Sua Máquina Contra Este Ataque

A Microsoft Defender recomenda medidas proativas para mitigar o risco desse tipo de ataque. É essencial bloquear ou restringir a execução de hosts de script (como wscript, cscript, mshta) em caminhos não confiáveis. Além disso, o monitoramento de utilitários do Windows que são executados com nomes divergentes de seus metadados PE originais é crucial para identificar a camuflagem utilizada pelo malware.

No plano de rede, inspecionar e filtrar o tráfego para serviços de armazenamento em nuvem é fundamental para detectar downloads maliciosos, mesmo quando hospedados em plataformas confiáveis como AWS S3 ou Tencent Cloud. A implementação de regras de redução da superfície de ataque específicas para scripts VBS e arquivos executáveis sem critério de prevalência pode complementar a camada de defesa técnica. É importante lembrar que o fator humano continua sendo a principal vulnerabilidade para ataques desse tipo, reforçando a necessidade de conscientização e treinamento em segurança digital.

Conclusão

A campanha de malware detectada pelo Microsoft Defender exemplifica a sofisticação crescente dos ataques cibernéticos, que exploram a confiança em aplicativos populares como o WhatsApp e abusam de ferramentas e infraestruturas legítimas. A cadeia de infecção em múltiplos estágios, desde a execução de um script VBS até a instalação silenciosa do AnyDesk para acesso remoto, destaca a engenhosidade dos atacantes. A proteção exige uma combinação de defesas técnicas robustas, como monitoramento de sistemas e filtragem de rede, e uma vigilância contínua por parte dos usuários. A luta contra o cibercrime está em constante evolução, e a compreensão dessas táticas é o primeiro passo para uma defesa eficaz.

Gostou da notícia? Inscreva-se na nossa newsletter para receber as principais novidades sobre inteligência artificial diretamente no seu e-mail.

Fonte: https://www.tecmundo.com.br

Picture of Redação Mundo IA

Redação Mundo IA

Ver todas as matérias

Veja também

Stephen Quillen and Zaid SabahPublished On 14 Apr 202614 Apr 2026SaveClick here to share on socia...

Tensão no Golfo: Irã Acusa EUA de ‘Pirateria’ em Bloqueio de Ormuz; Trump Acena com Acordo

       

Woodson Martin, CEO da OutSystems (foto: divulgação)

Empresas Brasileiras Lideram em Adoção de IA Agêntica, Mas Governança e Legados Freiam Escalada, Diz OutSystems

       

Exame

Conteúdo Fora do Escopo: Notícia sobre BBB 26 Não se Alinha ao Portal de Tecnologia

       

Beyond Vector Search: Building a Deterministic 3-Tiered Graph-RAG System Image by Editor

Além da Busca Vetorial: Sistema Graph-RAG de 3 Camadas Promete IA Determinística

       

https://www.facebook.com/kdnuggets

Dicas Avançadas de NotebookLM: Maximize Sua Produtividade com Recursos de Ponta

       

OpenAI

Comece a Usar o ChatGPT: Guia Completo para Iniciantes e Dicas Essenciais