Microsoft alertó este martes sobre una campaña de ciberataques coordinada que utiliza la aplicación WhatsApp para distribuir archivos maliciosos. La operación, detectada desde finales de febrero, emplea paquetes de instalación de Microsoft (MSI) para obtener control remoto de los sistemas infectados y extraer información confidencial. El ataque comienza con el envío de scripts de Visual Basic (VBS) diseñados para engañar al usuario final.
El método de infiltración y ejecución
Los atacantes utilizan tácticas de ingeniería social, posiblemente mediante sesiones comprometidas de WhatsApp, para que los mensajes parezcan provenir de contactos conocidos. Según reportó The Register, los criminales también emplean mensajes urgentes para presionar a las víctimas y lograr que ejecuten los archivos maliciosos en sus sistemas. Una vez activado, el script crea carpetas ocultas en el directorio ProgramData de Windows para operar sin ser detectado.
Para evadir los sistemas de seguridad, los atacantes renombran herramientas legítimas de Windows, como curl.exe y bitsadmin.exe, simulando ser archivos de sistema como netapi.dll. Esta técnica, conocida como "living off the land", permite que la actividad maliciosa se confunda con procesos normales del sistema operativo. No obstante, los investigadores de Microsoft detectaron que estos archivos conservan sus metadatos originales, lo que permite a las soluciones de seguridad identificar la discrepancia.
"Esto significa que Microsoft Defender y otras soluciones de seguridad pueden aprovechar esta discrepancia de metadatos como una señal de detección", indicaron los investigadores de Microsoft en su blog oficial.
Escalada de privilegios y control remoto
Tras la fase inicial, el malware descarga cargas útiles secundarias desde servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2. Posteriormente, el software intenta modificar la configuración del Control de Cuentas de Usuario (UAC) para ejecutar comandos con privilegios elevados. Si el proceso tiene éxito, el malware logra persistencia en el sistema, sobreviviendo incluso a los reinicios del equipo.
En la etapa final, se despliegan instaladores MSI que suplantan herramientas reales como AnyDesk o WinRAR. Dado que estos instaladores no cuentan con firmas digitales válidas, representan una señal clara de compromiso para los administradores de red. Estos programas otorgan acceso remoto total, facilitando el robo de datos o la posterior instalación de ransomware en la infraestructura afectada.
Implicaciones para la seguridad corporativa
Este incidente subraya la vulnerabilidad de las empresas ante el uso de aplicaciones de mensajería personal en entornos laborales. A diferencia de los correos electrónicos, que suelen pasar por filtros de seguridad estrictos, WhatsApp ofrece un canal directo y menos supervisado hacia el endpoint del empleado. La tendencia de utilizar herramientas legítimas para fines maliciosos complica la labor de los equipos de respuesta a incidentes.
Microsoft recomienda a las organizaciones priorizar la capacitación de sus empleados para reconocer adjuntos sospechosos y mensajes inesperados. La empresa enfatiza que incluso las plataformas familiares pueden ser explotadas para la entrega de software malicioso. Se espera que las empresas refuercen sus políticas de seguridad en dispositivos móviles y limiten la ejecución de archivos no firmados en sus estaciones de trabajo.