### WhatsApp como Vetor para Malware **A Microsoft** está chamando a atenção para uma nova campanha que utilizou mensagens do **WhatsApp** para distribuir arquivos maliciosos de Visual Basic Script (VBS). A atividade, que começou no final de fevereiro de 2026, usa esses scripts para iniciar uma cadeia de infecção em várias etapas para estabelecer persistência e permitir o acesso remoto. Os iscas específicas usadas para enganar os usuários a executar os scripts permanecem desconhecidas. ### Táticas "Living-off-the-Land" "A campanha depende de uma combinação de engenharia social e técnicas de 'living-off-the-land'", disse a **Microsoft Defender** Security Research Team. "Ela utiliza utilitários do Windows renomeados para se misturar à atividade normal do sistema, recupera payloads de serviços de nuvem confiáveis como **AWS**, **Tencent Cloud** e **Backblaze B2**, e instala pacotes maliciosos do **Microsoft** Installer (MSI) para manter o controle do sistema." O uso de ferramentas legítimas e plataformas confiáveis permite que os atores de ameaças se misturem à atividade normal da rede e aumentem a probabilidade de sucesso. ### Cadeia de Infecção A atividade começa com os atacantes distribuindo arquivos VBS maliciosos via mensagens do **WhatsApp**. Quando executados, esses arquivos criam pastas ocultas em `C:\ProgramData` e depositam versões renomeadas de utilitários legítimos do Windows como `curl.exe` (renomeado para `netapi.dll`) e `bitsadmin.exe` (renomeado para `sc.exe`).  ### Persistência e Escalação de Privilégios Após obter um ponto de apoio inicial, os atacantes visam estabelecer persistência e escalar privilégios, instalando, por fim, pacotes MSI maliciosos nos sistemas das vítimas. Isso é alcançado baixando arquivos VBS auxiliares hospedados em **AWS S3**, **Tencent Cloud** e **Backblaze B2** usando os binários renomeados. ### Bypass de UAC e Implantação de MSI "Uma vez que os payloads secundários estejam no lugar, o malware começa a adulterar as configurações do Controle de Conta de Usuário (UAC) para enfraquecer as defesas do sistema", disse a **Microsoft**. "Ele tenta continuamente iniciar `cmd.exe` com privilégios elevados, tentando novamente até que a elevação do UAC seja bem-sucedida ou o processo seja forçadamente encerrado, modificando entradas de registro sob `HKLM\Software\Microsoft\Win`, e incorporando mecanismos de persistência para garantir que a infecção sobreviva às reinicializações do sistema." Essas ações permitem que os atores de ameaças obtenham privilégios elevados sem interação do usuário por meio de uma combinação de manipulação de Registro com técnicas de bypass de UAC, e, por fim, implantem instaladores MSI não assinados. Isso inclui ferramentas legítimas como **AnyDesk**, que fornecem aos atacantes acesso remoto persistente, permitindo-lhes exfiltrar dados ou implantar mais malware. ### Técnicas Sofisticadas "Esta campanha demonstra uma cadeia de infecção sofisticada que combina engenharia social (entrega via **WhatsApp**), técnicas furtivas (ferramentas legítimas renomeadas, atributos ocultos) e hospedagem de payloads baseada em nuvem", disse a **Microsoft**.