Blog

WhatsApp espalha VBScript que instala ManageEngine RMM legitimo em PCs

Escrito por Luiz Claudio | 23/06/2026 16:01:05
Malware

WhatsApp espalha VBScript; proteja seu acesso

Arquivos falsos de documentos podem instalar uma ferramenta legítima de acesso remoto.

Navegacao

Contexto da campanhaComo o golpe funcionaSinais de alertaComo se protegerChecklist pratico

Resumo rapido

Uma campanha ativa usa mensagens diretas no WhatsApp Desktop e no WhatsApp Web para enviar arquivos VBScript maliciosos. Eles se passam por documentos comerciais ou financeiros, mas iniciam uma cadeia que termina na instalação do ManageEngine Endpoint Central. Como essa ferramenta é legítima, o invasor consegue acesso remoto ao computador sem disparar suspeitas imediatas.

Neste artigo voce vai aprender:

  • O que foi identificado na campanha divulgada pela Kaspersky.
  • Por que arquivos VBScript enviados pelo WhatsApp são perigosos.
  • Quais nomes de arquivo foram usados para enganar vítimas.
  • Quais países aparecem no escopo informado, incluindo o Brasil.
  • Quais ações práticas reduzem o risco de infecção.

Contexto da campanha

Mensagens diretas no WhatsApp Desktop e no WhatsApp Web estão sendo usadas para distribuir arquivos Visual Basic Script, conhecidos como VBScript. Eles não chegam com cara de programa suspeito: a embalagem é de documento de trabalho, normalmente ligado a finanças e negócios.

A Kaspersky observou a campanha entre usuários na Malásia, Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã, com a maior concentração de vítimas na Malásia. O objetivo é claro: transformar uma conversa rotineira no WhatsApp em porta de entrada para acesso remoto ao computador.

Como o golpe funciona

O arquivo malicioso chega pelo WhatsApp travestido de documento útil. Entre os exemplos citados estão nomes como “Financial Reports.vbs” e “Account Statement.vbs”. Há ainda arquivos nomeados em outros idiomas, incluindo português, francês, alemão e malaio, o que revela um esforço de adaptar a isca a diferentes públicos.

Quando a vítima executa o arquivo, ele é aberto pelo WScript.exe, o componente do Microsoft Windows que roda scripts. A partir daí, o VBScript busca e executa novos componentes para dar sequência à infecção. No fim da cadeia entra o ManageEngine Endpoint Central, uma ferramenta legítima de monitoramento e gerenciamento remoto. O perigo não está na ferramenta, mas no uso que o invasor faz dela para controlar o sistema da vítima.

Sinais de alerta

Alguns indícios simples merecem atenção antes de abrir qualquer anexo recebido no WhatsApp:

  • Arquivo com final .vbs, mesmo que o nome pareça um relatório, extrato ou documento financeiro.
  • Mensagem inesperada enviada por um contato conhecido, sobretudo se o texto for curto ou genérico.
  • Arquivos com nomes de negócio, como relatórios financeiros ou extratos de conta, enviados sem contexto.
  • Anexos recebidos pelo WhatsApp Web ou WhatsApp Desktop que pedem execução local no computador.
  • Instalação inesperada de ferramenta de acesso remoto, como o ManageEngine Endpoint Central, sem solicitação da equipe de TI.

Como se proteger agora

A regra principal é direta: não execute arquivos .vbs recebidos pelo WhatsApp, mesmo quando vierem de alguém conhecido. Há indícios de que os invasores obtiveram acesso indevido a contas de WhatsApp e usaram essas contas para enviar os arquivos aos contatos da vítima. Confiar apenas no nome do remetente, portanto, não basta.

Em ambientes corporativos, a equipe de TI precisa orientar os usuários, revisar computadores que receberam anexos suspeitos e checar se ferramentas de RMM foram instaladas sem autorização. Caso um arquivo tenha sido aberto, isole o computador da rede e acione o time de segurança antes de retomar o uso normal.

Checklist pratico

  1. Recebeu arquivo pelo WhatsApp com final .vbs? Não abra e confirme com o remetente por outro canal.
  2. Procure por nomes suspeitos, como relatórios financeiros, extratos ou documentos comerciais inesperados.
  3. Se o arquivo foi executado, desconecte o computador da rede e informe a equipe de TI imediatamente.
  4. Verifique se o ManageEngine Endpoint Central ou outra ferramenta remota apareceu sem autorização.
  5. Reforce a orientação interna sobre anexos recebidos via WhatsApp Web e WhatsApp Desktop.

Perguntas frequentes

O WhatsApp foi invadido?

Não há afirmação de que o WhatsApp tenha sido invadido. A hipótese citada é que o agente de ameaça obteve acesso a algumas contas e as usou para enviar arquivos maliciosos aos contatos.

O ManageEngine Endpoint Central é um malware?

Não. A ferramenta é legítima. O risco está no uso indevido: instalada sem autorização, ela pode liberar acesso remoto ao computador da vítima.

O Brasil está entre os alvos?

Sim. O Brasil aparece na lista de países onde usuários de WhatsApp Desktop e WhatsApp Web foram alvo da campanha, ao lado dos demais países citados na publicação.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua empresa a reduzir riscos de phishing, malware e abuso de ferramentas remotas com conscientização, inteligência de ameaças e avaliação técnica do ambiente.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/06/whatsapp-vbscript-campaign-uses-fake.html
Visualizar publicação completa