Kaspersky Expora Campanha no WhatsApp que Usa Ficheiros Falsos para Instalar Ferramenta de Monitorização

June 28, 2026 — Ana Silva 4 min read

Uma campanha maliciosa que utiliza o WhatsApp como vetor de ataque foi detetada pela Kaspersky a afetar utilizadores no Brasil, na Índia e em Espanha. Os atacantes enviam documentos falsos através da aplicação de mensagens, inducindo as vítimas a instalar a ferramenta ManageEngine de monitorização e gestão remota (RMM). O objetivo é obter controlo remoto dos sistemas comprometidos.

Como Funciona o Ataque

A campanha começa com mensagens enviadas pelo WhatsApp que contienen ficheiros VBScript disfarçados de documentos legítimos. Quando a vítima abre o ficheiro, o script é executado e procede ao download e instalação silenciosa da ferramenta ManageEngine. Esta aplicação, concebida para administração de sistemas empresariais, é depois utilizada pelos atacantes para manter acesso persistente aos dispositivos infetados.

Os investigadores da Kaspersky identificaram que os documentos falsos seguem um padrão consistente. As vítimas recebem ficheiros com nomes aparentemente inofensivos, como faturas, contratos ou relatórios, que ao serem abertos executam o código malicioso em segundo plano. O utilizador não percebe qualquer atividade suspeita durante o processo de infeção.

Países Afetados pela Campanha

O Brasil regista o maior número de tentativas de infeção identificadas pela Kaspersky. A Índia e Espanha completam a lista de países onde a campanha foi detetada. A escolha destes três mercados pode estar relacionada com a dimensão das comunidades empresariais que utilizam ferramentas de gestão remota, segundo indicam os investigadores.

Perfil dos Alvos

A campanha aparenta visar principalmente utilizadores profissionais e pequenas empresas. Os alvos recebem mensagens que imitam comunicações empresariais habituais, aumentando a probabilidade de abertura dos ficheiros. Esta abordagem de engenharia social explora a confiança que os utilizadores depositam em documentos aparentemente enviados por colegas ou parceiros comerciais.

Ferramenta ManageEngine Utilizada pelos Atacantes

A ManageEngine é uma solução legítima de monitorização e gestão remota amplamente utilizada em ambientes empresariais. No entanto, nesta campanha, os atacantes exploram funcionalidades normais da ferramenta para estabelecer controlo remoto sobre os sistemas infetados. A utilização de software legítimo para fins maliciosos dificulta a deteção por soluções de segurança tradicionais.

A Kaspersky comunicou os resultados da investigação à ManageEngine como parte dos protocolos de divulgação responsável. A empresa responsável pela ferramenta disponibilizou posteriormente atualizações de segurança para mitigar a exploração das suas funcionalidades.

Detalhes Técnicos Identificados

Os investigadores analisaram os ficheiros VBScript utilizados na campanha e identificaram técnicas de ofuscação diseñadas para evitar a deteção por software antivírus. O código malicioso é executado de forma silenciosa e estabelece comunicação com servidores de comando e controlo remotos após a instalação bem-sucedida da ferramenta RMM.

A campanha utiliza ainda técnicas de persistência que permitem aos atacantes manter o acesso mesmo após reinícios do sistema ou atualizações do software de segurança. Esta capacidade de manutenção de acesso torna a ameaça particularmente difícil de eliminar uma vez estabelecida.

Recomendações de Proteção

A Kaspersky recomenda que os utilizadores evitem abrir ficheiros recebidos através do WhatsApp, mesmo quando aparentemente provenance de contactos conhecidos. As organizações devem implementar controlos que restrinjam a instalação de software de monitorização remota a utilizadores autorizados e monitorizem a atividade suspeita nos sistemas.

As empresas que utilizam a ManageEngine devem rever as suas configurações de segurança e garantir que apenas administradores autorizados têm capacidade de instalar ou modificar a ferramenta nos dispositivos da rede. A autenticação de dois fatores deve estar ativa em todas as contas administrativas.

Próximos Passos e Monitorização

A Kaspersky continua a monitorizar a evolução desta campanha e a identificar novas variantes dos ficheiros maliciosos utilizados. Os investigadores esperam que a divulgação pública das técnicas empleadas ajude as organizações a protegerem-se melhor contra esta ameaça específica.

As empresas devem rever os seus registos de segurança para identificar possíveis tentativas de infeção nos últimos meses. A identificação precoce de indicadores de comprometimento é essencial para limitar o impacto de ataques desta natureza. Os utilizadores individuais devem manter-se vigilantes face a mensagens desconhecidas e evitar transferir ficheiros de origens não verificadas.