A Microsoft alerta para uma nova campanha que usa mensagens no WhatsApp para distribuir arquivos maliciosos em Visual Basic Script (VBS).
A atividade, identificada desde o final de fevereiro de 2026, utiliza esses scripts para iniciar uma cadeia de infecção em múltiplas etapas, com o objetivo de garantir persistência e permitir acesso remoto aos sistemas.
Ainda não se sabe quais iscas os criminosos usam para convencer os usuários a executar os scripts.
"A campanha combina técnicas de engenharia social e living-off-the-land", explicou a equipe do Microsoft Defender Security Research.
"Ela usa utilitários legítimos do Windows renomeados para se camuflar nas operações do sistema, baixa payloads de serviços de nuvem confiáveis como AWS, Tencent Cloud e Backblaze B2 e instala pacotes maliciosos do Microsoft Installer (MSI) para manter o controle da máquina."
O uso de ferramentas legítimas e plataformas confiáveis torna a ação ainda mais perigosa, pois os atacantes conseguem se misturar ao tráfego normal da rede, aumentando as chances de sucesso do ataque.
O ataque começa com o envio dos arquivos VBS maliciosos pelo WhatsApp.
Ao serem executados, esses arquivos criam pastas ocultas em "C:\ProgramData" e dropam versões renomeadas de utilitários legítimos do Windows, como o "curl.exe" (renomeado para "netapi.dll") e o "bitsadmin.exe" (renomeado para "sc.exe").
Após o ponto inicial de acesso, os atacantes buscam estabelecer persistência e elevar privilégios instalando pacotes MSI maliciosos nos sistemas infectados.
Para isso, baixam scripts auxiliares hospedados na AWS S3, Tencent Cloud e Backblaze B2 utilizando as versões renomeadas dos binários legítimos.
"Com os payloads secundários ativos, o malware começa a manipular as configurações do User Account Control (UAC), enfraquecendo as defesas do sistema", afirmou a Microsoft.
"Ele tenta repetidamente executar o cmd.exe com privilégios elevados até conseguir obter a elevação via UAC ou ser encerrado à força, altera entradas do registro em HKLM\Software\Microsoft\Win e insere mecanismos de persistência para garantir que a infecção permaneça após reinicializações."
Essas ações permitem que os invasores obtenham privilégios elevados sem interação do usuário por meio da combinação de manipulação do registro com técnicas de bypass do UAC e finalizam a instalação de pacotes MSI não assinados.
Entre esses pacotes estão ferramentas legítimas como o AnyDesk, que oferecem acesso remoto persistente aos atacantes, possibilitando exfiltração de dados ou a instalação de mais malware.
“Esta campanha demonstra uma cadeia de infecção sofisticada que combina engenharia social via WhatsApp, técnicas de ocultação como o uso de ferramentas legítimas renomeadas e atributos escondidos, e hospedagem de payloads em nuvem”, destacou a Microsoft.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...