Menu Mobile
Voltar ao início do blog

WhatsApp espalha VBScript que instala ManageEngine RMM legitimo em PCs

Malware

WhatsApp espalha VBScript; proteja seu acesso

Arquivos falsos de documentos podem instalar uma ferramenta legítima de acesso remoto.

WhatsApp espalha VBScript que instala ManageEngine RMM legitimo em PCs

Resumo rapido

Uma campanha ativa usa mensagens diretas no WhatsApp Desktop e no WhatsApp Web para enviar arquivos VBScript maliciosos. Eles se passam por documentos comerciais ou financeiros, mas iniciam uma cadeia que termina na instalação do ManageEngine Endpoint Central. Como essa ferramenta é legítima, o invasor consegue acesso remoto ao computador sem disparar suspeitas imediatas.

Neste artigo voce vai aprender:

  • O que foi identificado na campanha divulgada pela Kaspersky.
  • Por que arquivos VBScript enviados pelo WhatsApp são perigosos.
  • Quais nomes de arquivo foram usados para enganar vítimas.
  • Quais países aparecem no escopo informado, incluindo o Brasil.
  • Quais ações práticas reduzem o risco de infecção.

Contexto da campanha

Mensagens diretas no WhatsApp Desktop e no WhatsApp Web estão sendo usadas para distribuir arquivos Visual Basic Script, conhecidos como VBScript. Eles não chegam com cara de programa suspeito: a embalagem é de documento de trabalho, normalmente ligado a finanças e negócios.

A Kaspersky observou a campanha entre usuários na Malásia, Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã, com a maior concentração de vítimas na Malásia. O objetivo é claro: transformar uma conversa rotineira no WhatsApp em porta de entrada para acesso remoto ao computador.

Como o golpe funciona

O arquivo malicioso chega pelo WhatsApp travestido de documento útil. Entre os exemplos citados estão nomes como “Financial Reports.vbs” e “Account Statement.vbs”. Há ainda arquivos nomeados em outros idiomas, incluindo português, francês, alemão e malaio, o que revela um esforço de adaptar a isca a diferentes públicos.

Quando a vítima executa o arquivo, ele é aberto pelo WScript.exe, o componente do Microsoft Windows que roda scripts. A partir daí, o VBScript busca e executa novos componentes para dar sequência à infecção. No fim da cadeia entra o ManageEngine Endpoint Central, uma ferramenta legítima de monitoramento e gerenciamento remoto. O perigo não está na ferramenta, mas no uso que o invasor faz dela para controlar o sistema da vítima.

Sinais de alerta

Alguns indícios simples merecem atenção antes de abrir qualquer anexo recebido no WhatsApp:

  • Arquivo com final .vbs, mesmo que o nome pareça um relatório, extrato ou documento financeiro.
  • Mensagem inesperada enviada por um contato conhecido, sobretudo se o texto for curto ou genérico.
  • Arquivos com nomes de negócio, como relatórios financeiros ou extratos de conta, enviados sem contexto.
  • Anexos recebidos pelo WhatsApp Web ou WhatsApp Desktop que pedem execução local no computador.
  • Instalação inesperada de ferramenta de acesso remoto, como o ManageEngine Endpoint Central, sem solicitação da equipe de TI.

Como se proteger agora

A regra principal é direta: não execute arquivos .vbs recebidos pelo WhatsApp, mesmo quando vierem de alguém conhecido. Há indícios de que os invasores obtiveram acesso indevido a contas de WhatsApp e usaram essas contas para enviar os arquivos aos contatos da vítima. Confiar apenas no nome do remetente, portanto, não basta.

Em ambientes corporativos, a equipe de TI precisa orientar os usuários, revisar computadores que receberam anexos suspeitos e checar se ferramentas de RMM foram instaladas sem autorização. Caso um arquivo tenha sido aberto, isole o computador da rede e acione o time de segurança antes de retomar o uso normal.

Checklist pratico

  1. Recebeu arquivo pelo WhatsApp com final .vbs? Não abra e confirme com o remetente por outro canal.
  2. Procure por nomes suspeitos, como relatórios financeiros, extratos ou documentos comerciais inesperados.
  3. Se o arquivo foi executado, desconecte o computador da rede e informe a equipe de TI imediatamente.
  4. Verifique se o ManageEngine Endpoint Central ou outra ferramenta remota apareceu sem autorização.
  5. Reforce a orientação interna sobre anexos recebidos via WhatsApp Web e WhatsApp Desktop.

Perguntas frequentes

O WhatsApp foi invadido?

Não há afirmação de que o WhatsApp tenha sido invadido. A hipótese citada é que o agente de ameaça obteve acesso a algumas contas e as usou para enviar arquivos maliciosos aos contatos.

O ManageEngine Endpoint Central é um malware?

Não. A ferramenta é legítima. O risco está no uso indevido: instalada sem autorização, ela pode liberar acesso remoto ao computador da vítima.

O Brasil está entre os alvos?

Sim. O Brasil aparece na lista de países onde usuários de WhatsApp Desktop e WhatsApp Web foram alvo da campanha, ao lado dos demais países citados na publicação.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua empresa a reduzir riscos de phishing, malware e abuso de ferramentas remotas com conscientização, inteligência de ameaças e avaliação técnica do ambiente.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/06/whatsapp-vbscript-campaign-uses-fake.html

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

Alertas de cibersegurança direto no Telegram

Vazamentos, vulnerabilidades críticas e tendências — curadoria diária pela nossa equipe de threat intel. Entre no canal oficial e fique à frente das ameaças.

Entrar no canal