Campanha de phishing no WhatsApp usa documentos falsos para comprometer PCs com Windows

Essa campanha não é só mais um ataque por WhatsApp: ela explora uma falha estrutural na cadeia de confiança corporativa, o uso legítimo de ferramentas de gestão de endpoints como o ManageEngine Endpoint Central. Ao invés de desenvolver malware do zero, os atacantes sequestram uma solução aprovada por TI, instalada com privilégios administrativos e capaz de contornar firewalls e EDRs quando configurada para se conectar a servidores externos. Isso transforma o Endpoint Central em um canal de persistência silencioso, não detectado por regras tradicionais de detecção de download ou execução de scripts.

O fato de o VBScript ser executado diretamente no WhatsApp Desktop (via wscript.exe) sem aviso adicional é crítico: muitos ambientes corporativos desativam bloqueios de script host por compatibilidade com sistemas legados, mas não monitoram sua atividade. A consequência prática? Um único clique em um arquivo que parece um boleto bancário pode entregar controle total do Windows, incluindo acesso a credenciais armazenadas, histórico de navegação e dados sensíveis em memória.

Para equipes de TI e segurança, isso muda o foco da defesa: não basta bloquear anexos suspeitos ou atualizar antivírus. É preciso auditar instalações de ferramentas de gerenciamento remoto, especialmente aquelas com conexão para fora da rede, e limitar a execução de wscript.exe e cscript.exe via política de grupo ou AppLocker. Também exige revisão de processos de verificação de arquivos recebidos, mesmo de contatos internos: a comprometimento de uma única conta de WhatsApp corporativa pode escalar para infecção em toda a cadeia de fornecedores e parceiros.