Chegou no seu WhatsApp, veio de um contato que você conhece e tem cara de boleto atrasado. Você clica, nada visível acontece, e o dia segue. Nos bastidores, um script acabou de instalar no seu computador um programa de administração remota perfeitamente legítimo, agora apontando para o servidor de um criminoso. Não houve vírus. Houve confiança.
Em maio de 2000, milhões de pessoas no mundo inteiro receberam um e-mail com o assunto ILOVEYOU e um anexo chamado LOVE-LETTER-FOR-YOU.TXT.vbs. Quem clicou abriu, sem saber, um script em Visual Basic que se reenviava para toda a lista de contatos e corrompia arquivos pelo caminho. Em poucos dias, dezenas de milhões de máquinas estavam infectadas e os prejuízos chegaram à casa dos bilhões de dólares. O golpe funcionou por um motivo só: a carta de amor parecia vir de alguém conhecido.
Vinte e seis anos depois, o roteiro é quase idêntico, e isso devia nos envergonhar mais do que assustar. Mudou o mensageiro, que agora é o WhatsApp no lugar do e-mail. Mudou o disfarce, que agora é um documento financeiro no lugar de uma declaração de amor. A extensão do arquivo, no entanto, é exatamente a mesma: ponto vbs.
O ataque que chega pelo número que você conhece
Em 22 de junho de 2026, a Kaspersky publicou a análise de uma campanha que estava, e segue, ativa, distribuindo arquivos maliciosos por mensagens de WhatsApp. O detalhe que torna o golpe eficiente é simples: as mensagens saem de contas que já foram invadidas. Ou seja, o anexo chega do número de alguém da sua agenda, e a sua primeira linha de defesa, a desconfiança de remetente desconhecido, simplesmente não dispara.
O arquivo é um VBScript fortemente ofuscado, com nome de documento de negócio, como Financial Reports.vbs, Account Statement.vbs ou Acknowledgment of Debt.vbs. Há versões nomeadas em português, francês, alemão e malaio, sinal de uma operação global. No WhatsApp Web, a vítima baixa e abre o arquivo achando que é um documento. No WhatsApp Desktop, o próprio processo do aplicativo dispara o WScript.exe do Windows. A partir daí, o script baixa dois componentes adicionais: um mexe no controle de contas de usuário do sistema, o outro busca um pacote compactado com o instalador do ManageEngine Endpoint Central. Pronto. Você acaba de hospedar um administrador remoto que não trabalha para você.
Por que instalar um programa de verdade é mais esperto que soltar um vírus
Aqui mora a parte engenhosa, e perversa. O ManageEngine Endpoint Central é uma ferramenta legítima de gestão remota, usada todos os dias por equipes de TI para aplicar correções, dar suporte e monitorar máquinas. Justamente por ser legítima, ela costuma estar na lista de programas confiáveis do antivírus e passa longe da análise comportamental. O atacante não precisa escrever um cavalo de Troia: ele instala um software de verdade e o configura para responder ao servidor dele. É o que o jargão chama de living off the land, viver da própria terra, usando as ferramentas do ambiente contra o próprio ambiente.
Os pesquisadores notaram um detalhe revelador: os scripts vêm recheados de comentários e metadados que imitam componentes legítimos do Windows Update, muitos deles escritos em chinês. A campanha ainda não tem autoria confirmada, mas a Kaspersky encontrou sobreposição de infraestrutura com atividades anteriores ligadas ao Gh0st RAT e ao ValleyRAT. Sobre o que fazer, o alerta foi direto: arquivos de script e executáveis “não devem ser abertos sem que a legitimidade seja verificada de forma independente”. E há um agravante: o WhatsApp não passa pelo filtro de e-mail da sua empresa, onde mora boa parte da defesa contra anexos. A mensagem entra por uma porta que ninguém configurou para vigiar.
O elefante brasileiro na sala
O Brasil está na lista de países atingidos, ao lado de Malásia, Índia, México, Cingapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã, e ninguém devia se surpreender. Aqui, o WhatsApp não é um aplicativo de conversa, é a infraestrutura informal do comércio. Fechamos negócio, mandamos nota fiscal, cobramos cliente e aprovamos pagamento por mensagem. A maior concentração de vítimas está na Malásia, perto de 80% dos casos registrados, mas a lógica que faz o golpe funcionar lá é a mesma que nos torna alvo: um país que vive de WhatsApp confia demais no anexo que vem do contato certo.
Some a isso o nosso velho conhecido, o shadow IT. O computador da recepção, a máquina do financeiro que ainda roda Windows antigo, o notebook pessoal que o funcionário usa para trabalhar. Nenhum deles passou pela conversa sobre desligar o Windows Script Host. E a Lei Geral de Proteção de Dados (LGPD), com a Autoridade Nacional de Proteção de Dados (ANPD) de olho, não vai aceitar foi um arquivo que chegou pelo WhatsApp como justificativa para o vazamento de dados de um cliente. Acesso remoto não autorizado a uma máquina com dados pessoais é incidente que precisa ser tratado, comunicado e, de preferência, evitado.
O que muda para o gestor de TI em 2026
A primeira é de política. Bloqueie a execução de arquivos de script no endpoint. Os formatos vbs, vbe, js, bat, cmd e ps1 não têm utilidade nenhuma na mão do usuário comum, e desativar o Windows Script Host onde não existe caso de uso legítimo fecha a porta principal desse ataque.
A segunda é de inventário. Trate qualquer instalação de ManageEngine, ou de qualquer ferramenta de acesso remoto, que não tenha saído da sua equipe como incidente confirmado, não como curiosidade. Se a TI não instalou, alguém instalou por você, e não foi para ajudar.
A terceira é de cultura. Treine as pessoas para uma regra de bolso que cabe em uma frase: documento de verdade não chega em arquivo de script. Boleto é PDF, planilha é XLSX, contrato é DOCX. Se veio com final ponto vbs, mesmo do contato mais querido, confirme por outro canal antes de clicar.
A pergunta que fica
Gastamos duas décadas e fortunas erguendo muralhas em volta do e-mail corporativo. Enquanto isso, mudamos boa parte da nossa vida profissional para um aplicativo de mensagem que nunca foi pensado como porta de entrada de documento de trabalho, e o tratamos com a intimidade de uma conversa de família. O criminoso percebeu isso antes de nós.
A pergunta não é se o seu antivírus consegue barrar um vírus, e sim se a sua empresa percebe quando o invasor entra usando uma ferramenta legítima, pela porta que você esqueceu de trancar.
Até o próximo Café com Bytes, com ceticismo saudável e café bem passado.
Ricardo Brasil
Especialista em IA Responsável e Diretor de TI na GWS Engenharia
Colunista Café com Bytes | Tecnologia | Inteligência Artificial
Sobre o Autor
Ricardo Brasil é Diretor de TI e Gestão Corporativa da GWS Engenharia, especialista em IA Responsável, transformação digital e governança de TI. É colunista da série Café com Bytes, onde escreve semanalmente sobre tecnologia, inteligência artificial e seus impactos no ambiente corporativo brasileiro.
Fontes
Kaspersky / Securelist, análise da campanha de VBScript via WhatsApp (22 de junho de 2026); Bill Toulas, Bleeping Computer (22 de junho de 2026); Ravie Lakshmanan, The Hacker News (23 de ju
