Microsoft alertó este martes sobre una sofisticada campaña de ciberataques que utiliza la plataforma WhatsApp para distribuir paquetes de instalación maliciosos. La ofensiva, que comenzó a finales de febrero, emplea archivos de Visual Basic Script (VBS) para comprometer sistemas operativos Windows y otorgar control remoto a los atacantes. El objetivo final es el robo de datos masivo y la posible implementación de ransomware en las máquinas infectadas.
El mecanismo de infiltración y engaño
El ataque comienza cuando la víctima recibe un mensaje de WhatsApp que contiene un archivo malicioso. Según informó el medio The Register, los criminales probablemente utilizan sesiones comprometidas para que el mensaje parezca provenir de un contacto conocido o emplean tácticas de urgencia para forzar la apertura del archivo. Una vez ejecutado, el script crea carpetas ocultas en el sistema y despliega versiones renombradas de utilidades legítimas de Windows.
Esta técnica, conocida como "living off the land", permite a los atacantes mimetizarse con la actividad normal de la red para evitar la detección. Los criminales renombraron herramientas como curl.exe y bitsadmin.exe para descargar cargas útiles secundarias desde servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2. Este método dificulta que los sistemas de seguridad distingan entre una descarga empresarial rutinaria y una acción maliciosa.
Fallos en la ejecución del malware
A pesar de la sofisticación, los investigadores de Microsoft detectaron un error crítico en la implementación de los atacantes. Los archivos binarios renombrados conservaron sus metadatos originales, lo que permite a herramientas como Microsoft Defender identificar la discrepancia entre el nombre del archivo y su identidad real.
"Esto significa que Microsoft Defender y otras soluciones de seguridad pueden aprovechar esta discrepancia de metadatos como una señal de detección", escribieron los investigadores de Microsoft en un blog publicado el martes.
Tras evadir las primeras defensas, el malware intenta alterar la configuración del Control de Cuentas de Usuario (UAC) para obtener privilegios elevados. Finalmente, despliegan instaladores MSI que suplantan software legítimo como AnyDesk o WinRAR. Al no contar con firmas digitales válidas, estos instaladores representan una señal de alerta definitiva para los administradores de sistemas.
Implicaciones para la seguridad corporativa
Este evento subraya una tendencia creciente donde las aplicaciones de mensajería personal se convierten en vectores de entrada para redes corporativas. A diferencia del correo electrónico, que cuenta con filtros de spam avanzados, WhatsApp ofrece un canal más directo y personal que reduce la guardia de los empleados. La capacidad de los atacantes para utilizar herramientas legítimas y servicios de nube conocidos eleva el riesgo para las empresas globales.
Microsoft recomienda que las organizaciones prioricen la capacitación de su personal para reconocer intentos de ingeniería social. La empresa enfatiza que incluso las plataformas familiares pueden ser explotadas para la entrega de malware. Se espera que Meta, propietaria de WhatsApp, implemente medidas adicionales de filtrado de archivos para mitigar este tipo de amenazas en el futuro cercano.