Em junho de 2026, observamos uma campanha de malware distribuindo arquivos VBScript maliciosos através de mensagens diretas no WhatsApp. A campanha afetou usuários em vários países e territórios, incluindo Malásia, Brasil, Índia, México, Cingapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã, com o maior número de vítimas observado na Malásia. No momento da escrita deste artigo, a campanha ainda está ativa.
Descoberta e escopo
A análise mostra que a campanha visa principalmente usuários do WhatsApp Desktop e WhatsApp Web. O ator da ameaça usa nomes de arquivos enganosos disfarçados como documentos comerciais e financeiros para persuadir os destinatários a baixar e executar o anexo. Uma vez executado, o VBScript inicia uma cadeia de infecção em múltiplas etapas que resulta na instalação de software legítimo de Monitoramento e Gerenciamento Remoto (RMM), permitindo acesso remoto ao sistema da vítima.
Vetor e exploração
A análise das amostras revelou que o ator da ameaça confiava fortemente em engenharia social através do uso de nomes de arquivos enganosos projetados para parecer documentos comerciais e financeiros legítimos. Os nomes de arquivos frequentemente referenciavam faturas, extratos de conta, avisos de dívida, registros de pagamento e extratos bancários. Exemplos incluem "Financial Reports.vbs", "Debt confirmation.vbs" e "Statement of Debt(30K).vbs".
Alguns nomes de arquivos também foram localizados em diferentes idiomas, incluindo português, francês, alemão e malaio. Exemplos incluem "Extrato de Conciliação.vbs" e "Aviso de dívida.vbs". O uso de múltiplos idiomas sugere que a campanha pode estar mirando vítimas em diferentes regiões geográficas.
Análise técnica detalhada
A primeira etapa da cadeia de infecção é um arquivo VBS ou VBE entregue através do WhatsApp. Embora múltiplas variantes dos scripts tenham sido observadas, sua funcionalidade central permanece consistente: o script cria um diretório de trabalho sob C:\Users\Public\Documents\, baixa dois payloads adicionais de VBScript de uma infraestrutura remota e os executa usando o Windows Script Host.
O segundo script VBS baixa um arquivo ZIP, extrai-o e executa um script para iniciar a instalação do software RMM. O arquivo ZIP contém um pacote de implantação pré-configurado do ManageEngine Endpoint Central. O ManageEngine Endpoint Central é uma plataforma legítima de gerenciamento empresarial com capacidades de administração remota que tornam atraente para abuso por atacantes buscando acesso persistente.
Impacto e alcance
Com base em nossa telemetria, as infecções foram observadas em vários países e territórios, incluindo Malásia, Brasil, Índia, México, Cingapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã, com 80% das vítimas localizadas na Malásia. A campanha confiava principalmente em anexos VBScript maliciosos distribuídos através do WhatsApp e parecia visar usuários individuais em vez de organizações ou indústrias específicas.
Medidas de mitigação recomendadas
Os usuários devem ter cautela ao receber anexos inesperados através do WhatsApp, mesmo quando parecem originar-se de contatos conhecidos. Arquivos de script e tipos executáveis como VBS, VBE, EXE, BAT, CMD, JS e PS1 não devem ser abertos a menos que sua legitimidade tenha sido verificada independentemente. Equipes de segurança devem monitorar a execução de scripts não autorizados e bloquear conexões de saída para infraestrutura conhecida de comando e controle.
Perguntas frequentes
Como identificar esta campanha? Procure por anexos VBScript com nomes relacionados a finanças ou impostos recebidos via WhatsApp.
É necessário instalar software adicional? Não, a instalação do agente RMM ocorre silenciosamente após a execução do script malicioso.