São Paulo, SP 29/4/2025 – A vulnerabilidade podia ser explorada por cibercriminosos para enviar executáveis disfarçados de arquivos comuns, como imagens ou PDFs.
Atualização recente corrige brecha grave que poderia ser usada por criminosos para instalar malware no computador da vítima sem que ela percebesse
Uma simples imagem enviada pelo WhatsApp podia esconder uma armadilha digital. A ESET aponta uma falha crítica no aplicativo para Windows que permitia a execução de códigos maliciosos disfarçados em arquivos enviados por mensagem. A vulnerabilidade, já corrigida por meio de atualização, podia ser explorada por cibercriminosos sem o conhecimento da vítima.
A falha, identificada como CVE-2025-30401, foi descoberta por um pesquisador independente no programa de recompensas da Meta. Embora não haja indícios de exploração ativa, a empresa agiu rapidamente para fechar a brecha com uma atualização automática.
A correção foi disponibilizada pela própria Meta por meio de uma atualização silenciosa no aplicativo para Windows. Usuários que desejem garantir que estão protegidos devem verificar se possuem a versão 2.2450.6 ou superior instalada em seus dispositivos. Para isso, basta acessar Menu > Configurações > Ajuda dentro do WhatsApp.
“A vulnerabilidade podia ser explorada por cibercriminosos para enviar executáveis disfarçados de arquivos comuns, como imagens ou PDFs. O WhatsApp exibia o arquivo de acordo com o MIME type, mas escolhia o software padrão de abertura daquele arquivo baseado em sua extensão, isso poderia permitir que cibercriminosos disfarçassem facilmente arquivos maliciosos. Bastava que a vítima abrisse o arquivo para que um código malicioso fosse executado e abrisse espaço para infecções por spyware, infostealers e outras ameaças digitais”, comenta Daniel Barbosa, pesquisador de segurança da ESET no Brasil.
O MIME type (Multipurpose Internet Mail Extensions) é um padrão usado por aplicações para identificar e interpretar corretamente o conteúdo de arquivos recebidos. Ao alterar esse identificador, criminosos conseguem enganar tanto o software quanto o usuário, aumentando a chance de que o conteúdo seja aberto sem suspeitas.
A ESET alerta que, sempre que se recebe uma mensagem de um contato desconhecido — especialmente se a mensagem afirma ser de um banco, órgão do governo ou provedor de serviços e exige uma ação urgente — é recomendável não responder nem clicar em links. Caso possível, o ideal é bloquear o remetente e entrar em contato com a instituição por canais oficiais para verificar a veracidade da mensagem. As políticas de bancos, serviços ao cidadão e de atendimento ao cliente não permitem que nenhum operador solicite senhas, códigos ou dados sensíveis.
“Esse tipo de mensagem inesperada, que pressiona o usuário a agir com urgência, é justamente a forma como campanhas de phishing são distribuídas e o que as torna difíceis de detectar a tempo. O objetivo final dos atacantes costuma ser o roubo de informações, disseminação de malwares ou propagação de algum tipo de golpe, como a venda de produtos inexistentes a preços absurdamente baixos, dentre muitos outros enganos possíveis. Os temas usados para essas abordagens são muito variados e os textos usados estão cada vez mais bem elaborados, induzindo muitas vítimas ao erro”, acrescenta Daniel Barbosa, pesquisador de segurança da ESET no Brasil.
Casos como esse reforçam a importância de manter práticas básicas de cibersegurança no dia a dia. Segundo a ESET, é essencial manter sistemas operacionais, aplicativos e dispositivos sempre atualizados. As atualizações não apenas aprimoram funcionalidades, como também corrigem falhas que podem ser exploradas por cibercriminosos.
A ESET alerta, ainda, que é fundamental contar com uma solução de segurança confiável instalada nos dispositivos, sempre com as definições atualizadas. Além disso, é preciso redobrar a atenção ao receber arquivos pelo WhatsApp — especialmente quando enviados por contatos desconhecidos ou não verificados.
Website: https://www.eset.com/br/
