🍪 Uso de Cookies

Este site utiliza cookies para melhorar sua experiência de navegação e fornecer funcionalidades personalizadas. Ao continuar navegando, você concorda com nossa Política de Privacidade e nossos Termos de Uso.

Valente Soluções
  • Inicio
  • Quem Somos
  • Serviços
  • Blog
  • Portfólio
  • Contato

Golpe no WhatsApp invade PCs com Windows

Uma campanha usa contas comprometidas para enviar arquivos maliciosos pelo WhatsApp. Entenda como o golpe funciona, por que ele consegue assumir o controle do Windows e quais cuidados podem evitar a infecção.

 Carlos Valente, em Julho 15, 2026 |  93 visualizações |  Tempo de leitura: 7 min - 1222 palavras.

Tweet Share Threads Share Share Share Tumblr Share Share

Pessoa observa arquivo suspeito recebido no WhatsApp Desktop em computador Windows
Arquivos inesperados recebidos pelo WhatsApp podem esconder scripts maliciosos contra PCs com Windows.

Imagine a cena: você está no meio do seu dia de trabalho e recebe uma notificação no WhatsApp de um colega de longa data ou de um familiar. A mensagem contém apenas um arquivo anexo com um nome urgente, como uma fatura pendente ou um comprovante de transferência. O senso de urgência faz com que você clique para conferir o conteúdo imediatamente.

Em junho de 2026, essa ação rotineira e aparentemente inofensiva tornou-se o principal vetor de infecção para uma campanha global de malware altamente sofisticada. O ataque não explora uma falha de código no aplicativo, mas algo muito mais difícil de corrigir: a confiança que depositamos em nossa rede de contatos. Embora o impacto seja global, atingindo países como Brasil, Índia e México, a telemetria indica que o epicentro foi a Malásia, onde ocorreram 80% das infecções detectadas.

O ataque não explora uma falha de código no aplicativo, mas algo muito mais difícil de corrigir: a confiança que depositamos em nossa rede de contatos.

O inimigo agora é outro: Quando seu contato é o vetor do ataque

Diferentemente dos golpes tradicionais de phishing, que chegam por números desconhecidos, esta campanha utiliza contas reais de usuários que já foram comprometidas. Os criminosos ganham acesso a perfis legítimos e passam a disparar anexos maliciosos para toda a lista de contatos, focando especificamente nos usuários das versões WhatsApp Desktop e WhatsApp Web.

O ataque é direto e busca a máxima eficácia por meio do silêncio. Como observado em análises forenses de incidentes recentes, as mensagens enviadas não incluíam nenhum texto acompanhante.

Essa ausência de texto é uma tática de ofuscação comportamental. Ao receber um arquivo sem qualquer explicação de um amigo, a curiosidade faz com que a guarda do usuário baixe instantaneamente. Tecnicamente, o perigo começa no momento do clique: o processo WhatsApp.Root.exe invoca o WScript.exe (Windows Script Host), que passa a executar comandos maliciosos em segundo plano, sem que nenhuma janela de aviso apareça para a vítima.

O lobo em pele de cordeiro: Por que .vbs não é um documento

Os atacantes utilizam engenharia social para nomear os arquivos, simulando documentos financeiros urgentes. O que torna o ataque globalmente perigoso é a localização dos nomes em diversos idiomas, incluindo português e malaio. Exemplos comuns incluem:

  • Financial Reports.vbs
  • Penyata bank.vbs (Extrato bancário em malaio)
  • Extrato de Conciliação.vbs
  • Aviso de dívida.vbs

O perigo real reside na extensão .vbs. Diferentemente de um PDF, um arquivo VBScript é um script de automação que o Windows executa nativamente. Ao ser aberto, ele não exibe nenhum documento real. Em vez disso, executa uma série de estágios de infecção. Um detalhe revelador encontrado por analistas que examinaram o código é a presença de comentários em chinês simplificado e referências falsas ao Windows Update, uma tentativa deliberada de enganar peritos e fazer o script parecer um processo legítimo do sistema.

Arquivo VBScript disfarçado de documento financeiro no Windows
Arquivos .vbs podem ser executados nativamente pelo Windows e não funcionam como documentos comuns.

Vivendo da Terra: A arte de se esconder à vista de todos

Esta campanha é um exemplo da técnica Living-off-the-Land (LOTL). Em vez de baixar programas suspeitos, o malware utiliza ferramentas que já existem no Windows para realizar o trabalho sujo, tornando-se praticamente um fantasma para antivírus tradicionais.

Para evitar a detecção, os criminosos escondem as ferramentas em pastas como C:\ProgramData ou C:\Users\Public\Documents e as renomeiam para parecerem arquivos de sistema. Veja a sofisticação da estratégia:

  • curl.exe: originalmente usado para transferências de dados, é renomeado para netapi.dll e utilizado para baixar scripts adicionais.
  • bitsadmin.exe: ferramenta de administração de downloads, é disfarçada como sc.exe para recuperar componentes do ataque silenciosamente.
  • certutil.exe: utilizado para baixar arquivos maliciosos hospedados em infraestruturas de nuvem legítimas.

Ao hospedar os estágios finais em serviços de nuvem confiáveis, como AWS S3, Tencent Cloud e Backblaze B2, os atacantes garantem que o tráfego de rede pareça uma comunicação corporativa normal, passando despercebido por muitos firewalls.

O sequestro silencioso: O que acontece após o clique

O objetivo final da infecção é obter persistência no sistema por meio da instalação de um software de RMM (Remote Monitoring and Management), especificamente o ManageEngine Endpoint Central. Aqui está a ironia: o invasor utiliza uma ferramenta de TI legítima e assinada digitalmente para agir como um backdoor. Como o software é legítimo, ele raramente é bloqueado.

Para garantir o controle total, o malware entra em um ciclo para modificar o UAC (Controle de Conta de Usuário) no Registro do Windows, tentando silenciar todos os avisos de segurança que poderiam alertar o usuário sobre mudanças no sistema. A instalação ocorre de forma invisível, instalando silenciosamente o agente por meio do msiexec.exe.

Uma vez instalado, o invasor passa a ter os mesmos privilégios de um administrador de suporte técnico, podendo visualizar a tela, acessar arquivos e monitorar praticamente toda a atividade realizada no computador.

Painel de segurança mostra ferramentas legítimas do Windows sendo abusadas por malware
O abuso de ferramentas legítimas do Windows ajuda a esconder atividades maliciosas em tráfego aparentemente normal.

Guia de sobrevivência digital: Como não ser a próxima vítima

Como analista, reforço que a tecnologia, sozinha, não impedirá esse tipo de ataque. A principal mudança precisa ser comportamental. Siga estas diretrizes práticas:

  1. Exiba as extensões de arquivos no Windows: vá até as opções do Explorador de Arquivos e desmarque "Ocultar extensões para tipos de arquivos conhecidos". Assim, será possível identificar se um arquivo chamado fatura.pdf é, na verdade, fatura.pdf.vbs.
  2. Bloqueie scripts suspeitos: nunca execute arquivos com extensões .vbs, .vbe, .bat ou .ps1 recebidos pelo WhatsApp. Documentos legítimos de trabalho não utilizam esses formatos.
  3. Atenção redobrada ao UAC: se o computador solicitar permissão de administrador logo após a abertura de um arquivo recebido pelo WhatsApp, negue imediatamente.
  4. Confirme por outro canal: recebeu um arquivo inesperado? Faça uma ligação ou envie uma mensagem para confirmar se a pessoa realmente enviou aquele documento.
  5. Audite os dispositivos conectados: no WhatsApp do celular, revise regularmente a seção "Aparelhos Conectados" e desconecte qualquer sessão Web ou Desktop desconhecida.

Conclusão e reflexão final

A campanha de 2026 demonstra que os criminosos não precisam mais quebrar a segurança do Windows. Eles preferem que o próprio usuário abra a porta para eles. A sofisticação técnica, que envolve desde comentários em chinês até o abuso de serviços de nuvem como AWS, mostra que estamos lidando com operadores profissionais que exploram a falha humana mais básica: a confiança.

Na próxima vez que um amigo lhe enviar uma fatura inesperada, você terá o cuidado de confirmar a origem antes de clicar?

Leia também

Para continuar acompanhando temas de segurança digital, inteligência artificial e riscos tecnológicos que afetam empresas e usuários, veja também estes conteúdos:

  • Hacking automatizado: o que o alerta do Google sobre a IA significa para você
  • O lado oculto da produtividade: como lidar com a Shadow AI sem frear sua equipe
  • A inteligência artificial e o impacto no trabalho

Consultoria em segurança digital

A Valente Soluções ajuda empresas e profissionais a avaliarem riscos digitais, protegerem ambientes de trabalho e adotarem práticas mais seguras no uso de aplicativos, sistemas e serviços online. Para conversar sobre proteção, prevenção e resposta a incidentes, fale conosco.

Nota: Todas as imagens utilizadas neste artigo foram geradas com o auxílio de inteligência artificial por meio do ChatGPT 5.5, Manus e Nano Banana 2, com o objetivo de ilustrar o conteúdo de forma didática e acessível aos nossos leitores.

Tags

 WhatsApp  Windows  golpe digital  malware  VBScript  segurança digital  engenharia social  phishing  proteção de dados

Leia Também

1.
A Anatel quer cuidar da cibersegurança do Brasil. Isso é uma boa ideia?
26 Jun, 2026
2.
WhatsApp vai permitir conversas sem expor o número pessoal
01 Jul, 2026
3.
Celular Seguro: Cadastro Nacional contra Roubos e Furtos
29 Jun, 2026
4.
Seu celular antigo vale mais do que você imagina
19 Jun, 2026
5.
Por que parei de tentar usar IA Local para programar em WinterCMS e OctoberCMS
10 Jun, 2026

Política de Privacidade


Na Valente Soluções em Informática, privacidade e segurança são prioridades e nos comprometemos com a transparência do tratamento de dados pessoais dos nossos usuários/clientes. Por isso, esta presente Política de Privacidade estabelece como é feita a coleta, uso e transferência de informações de clientes ou outras pessoas que acessam ou usam nosso site.

Ao utilizar nossos serviços, você entende que coletaremos e usaremos suas informações pessoais nas formas descritas nesta Política, sob as normas da Constituição Federal de 1988 (art. 5º, LXXIX; e o art. 22º, XXX – incluídos pela EC 115/2022), das normas de Proteção de Dados (LGPD, Lei Federal 13.709/2018), das disposições consumeristas da Lei Federal 8078/1990 e as demais normas do ordenamento jurídico brasileiro aplicáveis.

Dessa forma, a VALENTE SOLUÇÕES EM INFORMÁTICA, doravante denominada simplesmente como "Valente Soluções", inscrita no CNPJ/MF sob o nº 25.338.191/0001-58, no papel de Controladora de Dados, obriga-se ao disposto na presente Política de Privacidade.

Cookies

A Valente Soluções não solicita ou guarda nenhum dado pessoal dos usuários em nosso banco de dados. Porém utilizamos cookies, que são arquivos de texto enviados pela plataforma ao seu computador e que nele se armazenam, que contém informações relacionadas à navegação do site. Em suma, os Cookies são utilizados para aprimorar a experiência de uso. Você pode desativar completamente esses cookies nas opções do seu browser. Entretanto, isso pode afetar sua experiência com nosso site e até com outros.

Para gerenciar os cookies do seu navegador, basta fazê-lo diretamente nas configurações do navegador, na área de gestão de Cookies. Você pode acessar tutoriais sobre o tema diretamente nos links abaixo:

  • Se você usa o Google Chrome
  • Se você usa o Mozilla Firefox
  • Se você usa o Microsoft Edge
  • Se você usa o Internet Explorer
  • Se você usa o Opera
  • Se você usa o Safari

Google Analytics

Este site usa o Google Analytics, um serviço de análise web fornecido pela Google, Inc. ("Google"). O Google Analytics utiliza uma forma específica de "cookies", ou seja, arquivos de texto, que são armazenados no seu computador e permitem a análise do seu uso do site. A informação gerada pelo cookie acerca da sua utilização do site será transmitida e armazenada em um servidor da Google nos EUA.

Gostaríamos de salientar que o Google Analytics foi ampliado neste site para incluir o código "gat._anonymizeIp ();" a fim de garantir a gravação anônima de endereços IP (as chamadas máscaras de IP). Devido à anonimização do IP neste site, seu endereço IP é abreviado pela Google dentro do território da União Europeia e do Tratado da Comunidade Econômica Europeia. Só em casos excepcionais é que o endereço IP completo é transmitido a um servidor da Google nos EUA e aí então abreviado.

A Google usa esta informação em nosso nome para analisar seu uso deste site, a fim de compilar relatórios sobre atividades do site e fornecer serviços adicionais relacionados ao uso do site e uso da Internet para o operador do site. O endereço IP transmitido para o Google Analytics pelo seu navegador não está consolidado com outros dados da Google.

Período de Armazenamento dos Seus Dados

Os dados fornecidos serão armazenados apenas durante o período necessário para realizar as respectivas finalidades para as quais nos transmitiu seus dados ou para o cumprimento das disposições legais.

Dados Coletados

Dados pessoais são informações que permitem identificação, tais como o nome, e-mail, telefone ou endereço. A Valente Soluções não coleta dados pessoais, exceto quando especificamente fornecidos nos atos de solicitação de orçamento, preenchimento do formulário de contato e salvo consentimento para a sua utilização.

Armazenamos, usamos ou transferimos seus dados pessoais apenas com seu consentimento e em situações como o processamento de uma solicitação de orçamento feita em nosso site, para responder às suas perguntas, pedidos de informações ou para informá-lo sobre novidades em nossos serviços.

Contato, Pedido de Informações, Revogação, Bloqueio, Exclusão

A qualquer momento e de forma gratuita, você poderá se opor ao uso dos seus dados pessoais, proceder à parcial ou total exclusão ou bloqueio ou pedir informações/retificações relativas aos seus dados pessoais armazenados por nós. Não é necessário preencher um formulário especial. Você pode, por exemplo, enviar um e-mail para [email protected].

Segurança dos Dados

Como dito nos tópicos acima, não armazenamos dados dos clientes em nosso banco de dados. Mesmo assim, mantemos nosso site sempre atualizado conforme a evolução das linguagens de programação e atualização das ferramentas do servidor de hospedagem. Nossos procedimentos de segurança são regularmente aprimorados, de modo a refletir o progresso tecnológico.

Atualizações e Alterações

Podemos alterar ou atualizar partes da declaração de privacidade de dados sem aviso prévio. Consulte regularmente a declaração de privacidade de dados antes de usar nosso site, para ficar a par das alterações e atualizações efetuadas.

Última atualização da declaração de privacidade de dados: agosto de 2025.

Inscreva-se

Gostaria de receber notícias e informações da Valente Soluções, sabendo que posso, a qualquer momento, remover meu e-mail da lista.

Menu Principal

  • Inicio
  • Quem Somos
  • Serviços
  • Blog
  • Portfólio
  • Contato

Feed RSS

Acompanhe nossos artigos sobre tecnologia, inteligência artificial, segurança digital, Linux, Windows e infraestrutura através do nosso feed RSS.


Logo Valente Soluções
© 2017 - Valente Soluções em Informática
Todos os direitos reservados.
Política de Privacidade | Termos de Uso