A Microsoft emitiu um alerta crítico sobre uma nova campanha de ameaças que utiliza mensagens do WhatsApp para distribuir arquivos maliciosos em formato Visual Basic Script (VBS). A atividade, identificada no final de fevereiro de 2026, explora a confiança dos usuários em comunicações familiares para iniciar uma cadeia de infecção multiestágio. O objetivo principal dos atacantes é estabelecer persistência no sistema e habilitar acesso remoto, utilizando técnicas avançadas para contornar o Controle de Conta de Usuário (UAC) do Windows.
Contexto da Campanha e Vetores de Entrega
A campanha representa uma evolução significativa nas táticas de engenharia social, migrando de e-mails de phishing tradicionais para plataformas de mensageria instantânea amplamente utilizadas no ambiente corporativo e pessoal. Os arquivos VBS são frequentemente anexados ou enviados como links que, ao serem executados, desencadeiam scripts ocultos. Diferente de malwares convencionais, este vetor explora a permissão de execução de scripts em sistemas Windows, que muitas vezes não é rigorosamente monitorada por soluções de endpoint tradicionais.
Os atacantes utilizam iscas que variam desde notificações de documentos confidenciais até alertas de segurança falsos, projetados para induzir o usuário a habilitar macros ou executar o script diretamente. A análise forense inicial sugere que os arquivos maliciosos são ofuscados para evitar detecção por assinaturas estáticas, utilizando técnicas de ofuscação de código que dificultam a análise dinâmica em sandboxes convencionais.
Mecanismo de Ataque e Bypass do UAC
O ponto crítico desta campanha é a capacidade de burlar o Controle de Conta de Usuário (UAC). O UAC é um mecanismo de segurança do Windows que impede que aplicativos não autorizados façam alterações no sistema. Ao explorar falhas na configuração de permissões ou em componentes legados do sistema, os scripts conseguem elevar privilégios sem notificar o administrador.
Uma vez que o script é executado, ele inicia uma cadeia de infecção que envolve o download de payloads adicionais. Esses payloads podem incluir backdoors, keyloggers ou ferramentas de acesso remoto (RATs). A persistência é estabelecida através da modificação de chaves de registro ou criação de tarefas agendadas, garantindo que o malware permaneça ativo mesmo após reinicializações do sistema.
Evidências e Limites da Exploração
Embora a Microsoft não tenha revelado detalhes completos sobre os lures utilizados para enganar os usuários, relatórios de inteligência de ameaças indicam que os atacantes estão focando em setores específicos que dependem fortemente de comunicação rápida via WhatsApp. A exploração não requer interação complexa do usuário, bastando a execução do arquivo VBS para comprometer a integridade do sistema.
É importante notar que a campanha ainda está em fase inicial de disseminação, mas a velocidade de propagação observada em honeypots sugere um potencial de impacto massivo. A falta de autenticação multifator (MFA) em contas de usuário comuns facilita a propagação lateral dentro de redes corporativas após o comprometimento inicial.
Medidas de Mitigação Recomendadas
Para mitigar os riscos associados a esta campanha, as organizações devem adotar uma postura de defesa em profundidade. A primeira medida é a aplicação de políticas de restrição de execução de scripts, impedindo a execução de VBS em diretórios não confiáveis. O uso de soluções de EDR (Endpoint Detection and Response) com capacidades de comportamento é essencial para detectar atividades anômalas associadas à execução de scripts.
Além disso, a educação dos usuários é fundamental. Campanhas de conscientização devem alertar sobre a possibilidade de mensagens maliciosas via WhatsApp e instruir os colaboradores a não executarem arquivos de origem desconhecida. A implementação de gateways de segurança de e-mail e mensageria que escaneiam anexos e links também é recomendada.
Implicações para Governança de Segurança
Este incidente reforça a necessidade de revisão das políticas de segurança de endpoint e de comunicação. A governança de segurança deve incluir a monitorização contínua de tentativas de execução de scripts não autorizados e a aplicação rigorosa do princípio do menor privilégio. A integração de inteligência de ameaças em tempo real permite que as equipes de SOC identifiquem e bloqueiem indicadores de comprometimento (IOCs) associados a esta campanha antes que causem danos significativos.
O que os CISOs devem fazer imediatamente
Os CISOs devem priorizar a verificação de logs de execução de scripts em todos os endpoints. A implementação de regras de firewall para bloquear comunicações suspeitas com servidores de comando e controle (C2) conhecidos é uma medida preventiva imediata. Além disso, a revisão das permissões de execução de scripts no ambiente Windows é crucial para reduzir a superfície de ataque.