Contas de WhatsApp roubadas espalham malware entre contactos

A Kaspersky identificou uma nova campanha de cibercrime que utiliza contas comprometidas do WhatsApp para distribuir malware junto dos contactos das vítimas. O ataque visa utilizadores do WhatsApp Desktop e do WhatsApp Web, recorrendo a mensagens diretas com anexos maliciosos que simulam documentos empresariais legítimos.

Segundo a investigação conduzida pela equipa Global Research and Analysis Team (GReAT) da Kaspersky, a campanha foi detetada em junho de 2026 e já afetou utilizadores em vários países e territórios, incluindo Brasil, Malásia, Singapura, Taiwan e Vietname. A utilização de ficheiros com nomes em português, inglês, francês e alemão indica ainda uma tentativa de alargar os ataques a vários mercados europeus.

Os atacantes utilizam contas de WhatsApp previamente comprometidas para enviar ficheiros maliciosos aos contactos existentes dessas contas, aumentando a probabilidade de as mensagens serem consideradas legítimas e os anexos serem abertos.

Os ficheiros enviados apresentam nomes semelhantes aos de documentos habitualmente trocados em contexto profissional, como faturas, extratos bancários, comprovativos de pagamento ou notificações de dívida. Além disso, incluem comentários e metadados concebidos para imitar componentes do Microsoft Windows Update, dificultando a identificação da ameaça.

“Nesta campanha, os atacantes exploram a confiança existente nas plataformas de mensagens, utilizando contas de WhatsApp comprometidas para enviar anexos maliciosos que aparentam ter origem em contactos conhecidos, tornando os destinatários muito mais propensos a interagir com eles”, afirma Fareed Radzi, investigador de segurança da equipa GReAT da Kaspersky.

Depois de o ficheiro ser executado, inicia-se uma cadeia de infeção em várias etapas. O script cria um diretório de trabalho no sistema, descarrega novos ficheiros a partir de infraestruturas externas e executa-os através do Windows Script Host. Posteriormente, é descarregado um ficheiro comprimido que instala software de monitorização e gestão remota, permitindo aos atacantes assumir o controlo do equipamento comprometido.

A Kaspersky recomenda que os utilizadores desconfiem de anexos recebidos através do WhatsApp, mesmo quando enviados por contactos conhecidos, e que evitem abrir ficheiros de script ou executáveis, como .vbs, .vbe, .exe, .bat, .cmd, .js ou .ps1, sem confirmar previamente a sua legitimidade.

A empresa aconselha ainda a utilização de soluções de segurança capazes de detetar e bloquear este tipo de ameaças antes da execução do malware.