Campanha ativa identificada pelo Microsoft Defender utiliza arquivos VBS enviados pelo WhatsApp para instalar ferramentas de acesso remoto e manter controle persistente sobre dispositivos infectados.

Malware – Uma campanha de distribuição de malware que utiliza o WhatsApp como porta de entrada foi identificada por pesquisadores do Microsoft Defender. A operação, iniciada no final de fevereiro de 2026, emprega arquivos de Visual Basic Script (VBS) para instalar ferramentas de acesso remoto nos sistemas das vítimas.

O ataque começa quando o usuário recebe um arquivo .vbs pelo WhatsApp e o executa. Após isso, o script cria diretórios ocultos em C:\ProgramData e copia versões renomeadas de ferramentas legítimas do Windows, permitindo que a atividade maliciosa se misture ao funcionamento normal do sistema.

LEIA: Agentes de IA avançam e já estão entre os principais investimentos em TI no Brasil

Em seguida, o malware utiliza esses arquivos para baixar novos scripts hospedados em serviços como Amazon Web Services S3, Tencent Cloud e Backblaze B2, plataformas amplamente utilizadas e, por isso, menos suspeitas em redes corporativas.

Na sequência, o código altera configurações do sistema para desativar alertas do Controle de Conta de Usuário (UAC), permitindo a execução de ações com privilégios elevados sem notificação. Também adiciona mecanismos de persistência para manter o acesso após reinicializações.

Na etapa final, são instalados pacotes MSI sem assinatura digital, incluindo o AnyDesk, que possibilita controle remoto contínuo do dispositivo comprometido. Com isso, invasores podem acessar dados, instalar novos malwares ou integrar a máquina a redes de ataques.

Segundo o Microsoft Defender, entre as principais medidas de proteção estão restringir a execução de scripts em locais não confiáveis, monitorar o uso suspeito de ferramentas do Windows e evitar abrir arquivos recebidos via WhatsApp, mesmo de contatos conhecidos.

(Com informações de Tecmundo)

(Foto: Reprodução/Freepik/WhoisDanny)