Uma campanha maliciosa identificada pela Microsoft está usando o WhatsApp como canal de entrega de arquivos VBS para comprometer computadores com Windows. O ataque chama atenção por empregar engenharia social e ferramentas legítimas do próprio sistema operacional para driblar mecanismos de proteção e dificultar a detecção.
A infecção começa quando a vítima executa um arquivo recebido pelo aplicativo de mensagens. A partir desse ponto, o código malicioso cria diretórios ocultos no sistema e prepara o ambiente para baixar novos componentes, estabelecendo as bases para persistência e controle remoto da máquina.
Um dos pontos mais relevantes da campanha é o uso de binários nativos do Windows renomeados, como utilitários de linha de comando e ferramentas de transferência de arquivos. Essa técnica ajuda os invasores a esconder a atividade maliciosa em meio a processos aparentemente legítimos do sistema.
Depois da execução inicial, os operadores recorrem a infraestrutura hospedada em serviços de nuvem amplamente conhecidos para buscar cargas adicionais. O uso desses ambientes confiáveis dificulta bloqueios automáticos e pode permitir que o tráfego malicioso passe despercebido em redes corporativas.
A cadeia de ataque também tenta contornar o Controle de Conta de Usuário, o UAC, recurso do Windows que limita ações com privilégios elevados. Ao enfraquecer essa barreira, os criminosos aumentam a capacidade de instalar outros arquivos, alterar configurações e manter o acesso ao dispositivo infectado.
