Microsoft alertó este martes sobre una sofisticada campaña de ciberataques que utiliza la plataforma WhatsApp para distribuir paquetes de instalación maliciosos (.msi). La ofensiva, que comenzó a finales de febrero, emplea tácticas de ingeniería social para engañar a los usuarios y obtener control remoto sobre sus máquinas. Los atacantes buscan acceder a datos sensibles y desplegar software adicional, como el ransomware, en los sistemas comprometidos.
El mecanismo de infección y el engaño
El proceso inicia con un mensaje de WhatsApp que contiene archivos de Visual Basic Script (VBS). Según reportó The Register, los criminales probablemente utilizan sesiones comprometidas de cuentas reales para que el mensaje parezca provenir de un contacto conocido. Alternativamente, emplean ganchos basados en la urgencia para presionar al usuario a ejecutar el archivo malicioso en su sistema operativo.
Una vez ejecutado, el script crea carpetas ocultas en el directorio ProgramData y renombra utilidades legítimas de Windows para evitar la detección. Por ejemplo, el archivo curl.exe es renombrado como netapi.dll, una técnica conocida como "living off the land" que permite al malware mezclarse con la actividad normal de la red. Esta estrategia busca evadir los sistemas de seguridad tradicionales al utilizar herramientas del propio sistema.
Fallos en la ejecución y detección
Los investigadores de Microsoft identificaron un error crítico en la metodología de los atacantes al renombrar los binarios. A pesar del cambio de nombre, los archivos conservan los metadatos originales del ejecutable, lo que permite a herramientas como Microsoft Defender detectar la discrepancia. Esta señal de alerta es fundamental para que los administradores de sistemas identifiquen la intrusión antes de que el daño sea irreversible.
"Estos binarios renombrados conservan sus metadatos originales de PE, incluyendo el campo OriginalFileName que todavía los identifica como curl.exe y bitsadmin.exe", señalaron los investigadores de Microsoft en su blog oficial.
Tras la fase inicial, el malware descarga cargas útiles secundarias desde servicios de nube confiables como AWS y Tencent Cloud. Posteriormente, intenta elevar sus privilegios modificando la configuración del Control de Cuentas de Usuario (UAC) para asegurar que el proceso sobreviva a un reinicio del sistema. El paso final es la instalación de paquetes MSI que simulan ser software legítimo como WinRAR o AnyDesk.
Implicaciones para la seguridad corporativa
Este ataque subraya la vulnerabilidad de las empresas frente a la convergencia entre las comunicaciones personales y los entornos laborales. A diferencia de los ataques de phishing por correo electrónico, el uso de mensajería instantánea aprovecha la confianza inherente en los contactos personales. Esto representa un desafío creciente para los departamentos de seguridad informática a nivel global.
Microsoft recomienda que las organizaciones prioricen la capacitación de sus empleados para reconocer adjuntos sospechosos en plataformas de mensajería. La empresa enfatiza que incluso las aplicaciones percibidas como seguras pueden ser explotadas para la entrega de malware. Se espera que Meta, propietaria de WhatsApp, implemente medidas adicionales para mitigar la distribución de archivos ejecutables sospechosos en su red.