Microsoft detectó una campaña de ciberataques iniciada a finales de febrero que utiliza la aplicación WhatsApp para distribuir paquetes de instalación maliciosos. Los atacantes emplean técnicas de ingeniería social para engañar a los usuarios y lograr que ejecuten archivos de Visual Basic Script (VBS) en sus sistemas. Una vez activados, estos archivos permiten a los criminales tomar el control remoto de las máquinas y acceder a toda la información almacenada.
El mecanismo de infiltración y engaño
Según informó la publicación The Register, los atacantes podrían estar utilizando sesiones comprometidas de WhatsApp para que los mensajes parezcan provenir de contactos conocidos. En otros casos, emplean mensajes con un sentido de urgencia extremo para forzar al destinatario a abrir el archivo rápidamente. Tras la ejecución del script, el malware crea carpetas ocultas en la ruta C:\ProgramData y despliega versiones renombradas de utilidades legítimas de Windows.
Para evitar la detección, los criminales utilizan una técnica denominada "living off the land", que consiste en usar herramientas oficiales del sistema para actividades maliciosas. Por ejemplo, renombran el archivo curl.exe como netapi.dll y bitsadmin.exe como sc.exe. Esta estrategia permite que el tráfico malicioso se confunda con la actividad normal de la red corporativa.
Fallos en la ejecución y detección
Los investigadores de Microsoft identificaron un error crítico en la implementación de los atacantes relacionado con los metadatos de los archivos ejecutables. Aunque los binarios fueron renombrados, conservaron el campo OriginalFileName original en sus metadatos. Esta discrepancia permite que herramientas como Microsoft Defender detecten la amenaza al notar que el nombre del archivo no coincide con su identidad interna.
"Esto significa que Microsoft Defender y otras soluciones de seguridad pueden aprovechar esta discrepancia de metadatos como una señal de detección", señalaron los investigadores de Microsoft en un blog publicado el martes.
El proceso culmina con la descarga de cargas útiles secundarias desde servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2. Posteriormente, el malware intenta elevar sus privilegios modificando la configuración de Control de Cuentas de Usuario (UAC) para asegurar que la infección persista incluso después de reiniciar el sistema.
Implicaciones para la seguridad corporativa
La fase final del ataque consiste en la instalación de paquetes MSI maliciosos que suplantan la identidad de software legítimo como AnyDesk o WinRAR. Dado que estos instaladores no cuentan con firmas digitales, representan una señal de alerta clara para los administradores de sistemas. El acceso remoto obtenido permite a los atacantes robar datos, desplegar ransomware o utilizar las máquinas infectadas para lanzar ataques a mayor escala.
Este incidente subraya la vulnerabilidad de las empresas ante el uso de aplicaciones de mensajería personal en entornos laborales. A diferencia de los correos electrónicos, que suelen pasar por filtros de seguridad estrictos, los mensajes de WhatsApp llegan directamente al usuario final. Esta brecha resalta la necesidad de implementar políticas de seguridad más estrictas sobre el uso de dispositivos personales en el trabajo.
Para mitigar estos riesgos, Microsoft recomienda priorizar la educación de los empleados sobre la identificación de campañas de ingeniería social. La empresa enfatiza que la capacitación es la defensa más efectiva contra adjuntos sospechosos en plataformas familiares. Las organizaciones deben vigilar ahora la proliferación de este método, ya que el uso de servicios de nube legítimos para distribuir malware dificulta la detección automatizada.