Uma nova e preocupante onda de ataques cibernéticos está se espalhando através do WhatsApp, explorando a confiança que os usuários depositam em seus contatos. A tática central dessa campanha envolve o envio de arquivos maliciosos a partir de contas de WhatsApp já comprometidas, disfarçando os anexos como documentos de negócios e financeiros, como relatórios, faturas ou notificações de conta. Essa abordagem visa explorar a confiança inerente nas comunicações entre contatos conhecidos, tornando-se um ponto fraco explorado pelos criminosos.
De acordo com a análise da Kaspersky, os ataques já afetaram usuários em uma ampla gama de países, incluindo Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia, Vietnã e Malásia. As mensagens maliciosas chegam de contatos legítimos da vítima e contêm um arquivo VBS (Visual Basic Script) altamente ofuscado. Os nomes desses arquivos são adaptados ao idioma do destinatário, aumentando a probabilidade de serem abertos. Se um usuário no Windows baixar e executar o anexo, o script se comunica com a infraestrutura dos atacantes para obter scripts adicionais. A próxima etapa envolve a modificação de parâmetros do registro, a desativação da proteção UAC (User Account Control) e o download de um arquivo ZIP contendo o ManageEngine Endpoint Central. Embora essa ferramenta seja legítima e usada por administradores para gerenciar computadores centralmente, nesta campanha, ela é utilizada para conectar discretamente o PC infectado aos servidores dos criminosos.
Os especialistas da Kaspersky detalham que, ao transferir o arquivo via WhatsApp Web, o anexo precisa ser baixado manualmente. No entanto, no cliente desktop do WhatsApp, o arquivo pode ser executado diretamente através do Windows Script Host. A forma exata como as contas do WhatsApp são comprometidas inicialmente ainda não foi totalmente determinada. No entanto, os pesquisadores identificaram vestígios de idioma chinês e sobreposições de infraestrutura com endereços anteriormente associados à atividade dos grupos de ameaças ValleyRAT e Gh0st RAT. Apesar dessas conexões, as evidências atuais não são suficientes para uma atribuição definitiva. Para mitigar o risco, é crucial verificar anexos, mesmo que provenientes de contatos conhecidos, utilizando um canal de comunicação alternativo. Documentos baixados devem ser escaneados por um antivírus atualizado antes da execução, e arquivos VBS suspeitos devem ser evitados a todo custo.
