Golpe no WhatsApp invade e espiona PCs com Windows sem levantar suspeitas

Uma mensagem chega pelo WhatsApp enviada por alguém conhecido. O texto parece normal, o arquivo tem nome de cobrança ou relatório financeiro e, por alguns segundos, nada chama atenção.

O problema começa justamente quando a pessoa abre o anexo.

Um novo golpe no WhatsApp está usando contas comprometidas para espalhar arquivos maliciosos em computadores com Windows. Depois do clique, os criminosos conseguem instalar silenciosamente uma ferramenta de acesso remoto e assumir o controle da máquina.

A campanha, identificada em 22 de junho de 2026, já apareceu no Brasil e em outros dez países. O ataque chama atenção porque mistura engenharia social, recursos legítimos do Windows e um programa verdadeiro de gerenciamento corporativo.

Golpe no WhatsApp começa com um contato conhecido

O arquivo malicioso não costuma chegar de um número completamente estranho. Ele é enviado por uma conta que já foi invadida, muitas vezes pertencente a um amigo, colega de trabalho ou fornecedor.

É isso que torna a armadilha tão convincente. Ao reconhecer a foto e o nome do contato, a vítima tende a baixar o anexo sem fazer muitas perguntas.

Os documentos falsos podem aparecer com nomes relacionados a pagamentos, dívidas e relatórios financeiros. Entre os exemplos observados estão arquivos como:

• “Financial Reports.vbs”

• “Debt confirmation.vbs”

• “Outstanding Payment List.vbs”

Os nomes também podem ser traduzidos ou adaptados para diferentes países. Ou seja, o documento pode chegar em português e parecer ainda mais próximo da rotina da vítima.

A extensão final merece atenção. Arquivos terminados em .vbs ou .vbe são scripts capazes de executar comandos no Windows. Eles não são documentos comuns, mesmo quando o nome tenta passar essa impressão.

O que acontece depois que o arquivo é aberto

A parte mais perigosa desse golpe no WhatsApp é que, aparentemente, nada acontece.

Nenhuma janela chamativa surge na tela. Não aparece uma mensagem avisando que o computador foi infectado. Enquanto a pessoa continua usando a máquina, o script trabalha escondido nos bastidores.

Primeiro, ele cria uma pasta oculta em uma área pública do Windows. O nome pode parecer aleatório ou imitar componentes de atualização do próprio sistema, dificultando a identificação.

Depois, o ataque utiliza ferramentas que já existem no computador, como o curl.exe, para baixar outros arquivos da internet. Alguns chegam disfarçados com extensões de texto ou PDF e são renomeados antes da execução.

Na prática, os criminosos usam funções legítimas do Windows para avançar com a invasão. Isso reduz a quantidade de arquivos claramente suspeitos e pode dificultar o trabalho de algumas soluções de segurança.

Programa verdadeiro é usado para espionar o computador

Em outra etapa, o script tenta modificar configurações do Controle de Conta de Usuário, o conhecido UAC. É aquele aviso do Windows que pergunta se determinado aplicativo pode fazer alterações no dispositivo.

Ao enfraquecer essa proteção, o ataque consegue realizar novas ações sem exibir pedidos de confirmação para a vítima.

O golpe no WhatsApp então baixa um pacote que inclui o ManageEngine Endpoint Central. Esse é um software legítimo, normalmente usado por equipes de tecnologia para administrar computadores à distância.

A diferença está na configuração.

Em vez de se conectar à estrutura de uma empresa confiável, o programa é preparado para conversar com servidores controlados pelos criminosos. Como possui instalador verdadeiro e certificados digitais válidos, sua presença pode parecer normal para algumas ferramentas de proteção.

A partir daí, o invasor pode obter acesso remoto ao computador. Isso abre espaço para visualizar informações, executar comandos e acompanhar atividades sem que a vítima perceba imediatamente.

Como se proteger do golpe no WhatsApp

Desconfiar apenas de números desconhecidos já não é suficiente. Uma conta familiar também pode ter sido invadida e usada para espalhar arquivos perigosos.

Antes de abrir qualquer documento inesperado, vale confirmar o envio por outro meio. Uma ligação rápida ou uma mensagem de voz pode evitar uma dor de cabeça enorme.

Também é importante observar alguns sinais:

• Arquivos com extensões .vbs ou .vbe

• Cobranças e relatórios que você não estava esperando

• Mensagens muito vagas acompanhadas de anexos

• Contatos dizendo que não reconhecem o envio

• Instalação inesperada de programas de acesso remoto

Empresas devem considerar o bloqueio da execução de scripts recebidos por aplicativos de mensagens. Monitorar instalações de ferramentas de gerenciamento remoto também ajuda a detectar comportamentos fora do padrão.

Caso o arquivo já tenha sido aberto, o ideal é desconectar o computador da internet, evitar acessar contas importantes e procurar suporte técnico especializado. Trocar senhas usando o mesmo dispositivo possivelmente comprometido não é uma boa ideia.

Um clique pode ser suficiente, então vale respirar antes

Esse golpe no WhatsApp aproveita algo muito humano: a confiança em pessoas conhecidas. O arquivo não precisa parecer perfeito quando chega pelo contato de um amigo ou de alguém do trabalho.

Por isso, a melhor defesa ainda começa com uma pequena pausa. Antes do duplo clique, observe o nome completo do arquivo, confirme o envio e desconfie de documentos inesperados.

Pode parecer exagero naquele momento, mas são poucos segundos capazes de impedir que um invasor assuma o controle do seu computador.