A Kaspersky identificou uma nova campanha maliciosa que utiliza contas comprometidas do WhatsApp para disseminar malware em computadores corporativos de diversos países, incluindo o Brasil. Focada em usuários do WhatsApp Web e WhatsApp Desktop, a ação usa faturas, extratos e cobranças falsas como isca para instalar um programa malicioso que assume o controle total do computador da empresa de forma invisível.
O golpe começa quando a vítima recebe uma mensagem de um contato conhecido, como um fornecedor ou parceiro comercial que teve a conta invadida. Essa tática é usada para gerar confiança e induzir funcionários dos departamentos financeiro e administrativo a abrirem o anexo, enviado no formato VBScript. Assim que o usuário clica para abrir o suposto documento, o script é ativado em segundo plano.
Para passar despercebido pelas defesas tradicionais, o vírus realiza uma instalação silenciosa utilizando recursos do próprio sistema operacional. O código interno do arquivo infectado contém informações falsas que imitam componentes legítimos de atualização da Microsoft (Windows Update). Uma vez instalado, o malware concede aos criminosos controle total do dispositivo à distância, permitindo visualizar telas e roubar dados.
“Identificamos vítimas dessa campanha em vários países além do Brasil, como Singapura, Taiwan, Vietnã e a Malásia, que atualmente registra o maior volume de casos. O uso de diferentes idiomas nos arquivos infectados, como português, inglês, francês, alemão e malaio, mostra que se trata de uma operação planejada para atingir diversas regiões ao mesmo tempo, o que aponta para uma segmentação regional ampla, especialmente em toda a Europa”, explica Fabio Assolini, pesquisador líder de Segurança da Kaspersky.
Para mitigar o risco, os especialistas da Kaspersky recomendam que as empresas orientem suas equipes a confirmarem por outro canal a legitimidade de cobranças recebidas por mensagens, mesmo quando enviadas por parceiros habituais. Os colaboradores jamais devem abrir arquivos com extensões suspeitas ou executáveis sem a devida verificação independente.
Como medida técnica de proteção, recomenda-se que as equipes de TI configurem políticas restritivas no ambiente corporativo para bloquear a execução de arquivos com extensões de script e executáveis, tais como .vbs, .vbe, .exe, .bat, .cmd, .js e .ps1. Por fim, a implementação de uma solução de Segurança robusta e atualizada em todos os dispositivos é fundamental para alertar os usuários e prevenir infecções digitais.