Uma campanha ativa de malware está usando mensagens diretas no WhatsApp para distribuir arquivos Visual Basic Script, ou VBScript, disfarçados de documentos comerciais e financeiros. Segundo a Kaspersky, a operação mira principalmente usuários do WhatsApp Desktop e do WhatsApp Web e tem como objetivo final instalar uma ferramenta legítima de Remote Monitoring and Management, conhecida como RMM, para permitir acesso remoto ao sistema da vítima.

A campanha foi observada em vários países, incluindo Malásia, Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã. A maior concentração de vítimas identificadas até o momento está na Malásia. O uso de nomes de arquivos em diferentes idiomas, incluindo português, francês, alemão e malaio, indica uma operação com alcance internacional e adaptação regional dos arquivos usados como isca.

De acordo com Fareed Radzi, pesquisador da Kaspersky, os invasores usam nomes enganosos para convencer os destinatários a baixar e executar os anexos. Os arquivos aparecem como documentos aparentemente legítimos, com nomes como “Financial Reports.vbs” e “Account Statement.vbs”, simulando relatórios financeiros, extratos de conta e outros materiais de interesse comercial. A extensão “.vbs”, no entanto, indica que o arquivo é um script executável do Windows, não um documento comum.

A investigação sugere que os responsáveis pela campanha obtiveram acesso indevido a várias contas do WhatsApp e passaram a usá-las como vetor de distribuição. Com isso, as mensagens maliciosas chegam a partir de contatos conhecidos das vítimas, aumentando a probabilidade de confiança e execução do arquivo. A Kaspersky afirma, porém, que ainda não está claro como essas contas foram comprometidas inicialmente.

A cadeia de ataque começa quando a vítima recebe o arquivo VBScript pelo WhatsApp. No WhatsApp Web, o usuário precisa baixar o anexo e abri-lo manualmente a partir da pasta de downloads ou do histórico de downloads do navegador, acreditando se tratar de um documento legítimo. Já no WhatsApp Desktop, a execução ocorre dentro do contexto do aplicativo, com a árvore de processos mostrando o “WhatsApp.Root.exe”, processo associado ao cliente desktop, iniciando o “WScript.exe”, componente legítimo do Windows usado para executar scr

ipts.

Depois de iniciado pelo WScript.exe, o VBScript abre uma cadeia de infecção em múltiplos estágios. O primeiro script baixa e executa componentes adicionais de VBScript a partir de um servidor remoto. Um desses componentes tenta interferir no comportamento do User Account Control, o UAC, mecanismo do Windows que ajuda a controlar elevação de privilégios e execução de ações administrativas. O outro baixa e executa um arquivo ZIP contendo o pacote de instalação do ManageEngine RMM Central.

O uso de uma ferramenta RMM legítima é um ponto importante da campanha. Soluções de Remote Monitoring and Management são normalmente usadas por equipes de TI e provedores de serviços gerenciados para administrar máquinas remotamente, aplicar correções, monitorar ativos e executar tarefas de suporte. Quando abusadas por invasores, essas ferramentas podem permitir persistência, controle remoto, movimentação dentro do ambiente e execução de comandos sem a necessidade de malware altamente customizado.

Essa técnica é conhecida como abuso de ferramentas legítimas, ou living off trusted tools. Em vez de instalar uma família de malware facilmente reconhecível, os invasores tentam se apoiar em softwares corporativos reais, o que pode dificultar a detecção por soluções de segurança que tratam essas aplicações como confiáveis. Para equipes de SOC e resposta a incidentes, a presença de um RMM inesperado em uma estação de trabalho deve ser tratada como sinal de alerta, principalmente quando não há processo formal de implantação ou inventário que justifique sua instalação.

Os scripts usados na campanha são fortemente ofuscados, o que dificulta a análise manual e a identificação rápida do comportamento malicioso. A Kaspersky também observou que as amostras de VBScript contêm comentários extensos e metadados criados para imitar componentes legítimos do Microsoft Windows Update. Muitos desses comentários estão em chinês e fazem referência a módulos do Windows Update, validação de certificados, verificações de integridade do sistema e funcionalidades relacionadas a implantação.

Embora a atividade ainda não tenha sido atribuída a um grupo específico, a Kaspersky identificou sobreposição de infraestrutura com campanhas anteriores associadas ao Gh0st RAT e ao ValleyRAT, incluindo o endereço 202.61.160[.]201. O Gh0st RAT é historicamente conhecido como uma ferramenta de acesso remoto usada em diferentes operações maliciosas, enquanto o ValleyRAT também já foi observado em campanhas voltadas a controle remoto e comprometimento de sistemas Windows.

O caso também mostra como canais de comunicação amplamente usados em ambientes pessoais e profissionais podem ser explorados como vetor de acesso inicial. O WhatsApp, especialmente em países como o Brasil, é usado não apenas para conversas pessoais, mas também para troca de documentos, atendimento comercial, comunicação entre equipes e relacionamento com clientes. Esse contexto torna anexos recebidos de contatos conhecidos especialmente perigosos quando a verificação do tipo de arquivo não é feita com atenção.

Para empresas, a campanha reforça a necessidade de controles sobre execução de scripts em endpoints Windows. Arquivos VBS, VBE, JS, JSE, BAT, CMD, PS1 e EXE recebidos por mensageiros, e-mail ou navegadores devem ser tratados com restrição, principalmente quando chegam de forma inesperada. Medidas como bloqueio de execução de scripts em diretórios de download, controle de aplicações, EDR, políticas de AppLocker ou Windows Defender Application Control e monitoramento de processos como WScript.exe e CScript.exe ajudam a reduzir o risco.

Também é importante monitorar a instalação não autorizada de ferramentas RMM. Em ambientes corporativos, qualquer solução de acesso remoto deve ter dono, justificativa, política de uso, inventário e registro de implantação. A presença de agentes RMM não homologados pode indicar comprometimento, uso indevido de credenciais ou tentativa de manter acesso persistente ao ambiente.

A recomendação para usuários é não abrir anexos inesperados recebidos pelo WhatsApp, mesmo quando enviados por contatos conhecidos. Antes de executar qualquer arquivo, é necessário confirmar por outro canal se a pessoa realmente enviou o documento e verificar a extensão real do arquivo. Um documento financeiro legítimo normalmente não deveria chegar como “.vbs”, “.exe”, “.bat”, “.cmd”, “.js” ou “.ps1”.

A Kaspersky também recomenda cautela especial com arquivos de script e executáveis recebidos por mensagens diretas. A legitimidade de um anexo deve ser verificada de forma independente, já que contas comprometidas podem ser usadas para distribuir malware a partir de contatos aparentemente confiáveis. Em campanhas como essa, a confiança social é parte central da técnica de ataque.

A operação envolvendo VBScript e ManageEngine RMM Central combina engenharia social simples com uma cadeia técnica eficaz. Ao explorar contas comprometidas do WhatsApp, arquivos com aparência de documentos e ferramentas legítimas de administração remota, os invasores reduzem a dependência de exploits sofisticados e aumentam a chance de passar despercebidos em ambientes com baixa maturidade de segurança.