Microsoft alertó este martes sobre una campaña de ciberataques que utiliza la plataforma WhatsApp para distribuir paquetes maliciosos de instalación (.msi). El esquema, que comenzó a finales de febrero, busca engañar a los usuarios para que ejecuten archivos de script de Visual Basic (VBS) que comprometen la seguridad del sistema. Esta incursión permite a los atacantes controlar las máquinas de las víctimas y acceder a la totalidad de su información.
El mecanismo de infiltración y engaño
El proceso inicia con un mensaje de WhatsApp que induce al receptor a ejecutar un archivo malicioso en su equipo. Según reportó The Register, los atacantes podrían estar utilizando sesiones comprometidas para que el mensaje parezca provenir de un contacto conocido o empleando tácticas de urgencia. Una vez ejecutado, el script crea carpetas ocultas en el directorio ProgramData y renombra utilidades legítimas de Windows para evadir la detección.
Para mimetizarse con la actividad normal de la red, los criminales utilizan una técnica denominada "living off the land". Por ejemplo, renombran el archivo curl.exe como netapi.dll y bitsadmin.exe como sc.exe. Sin embargo, Microsoft detectó que estos binarios conservan sus metadatos originales, lo que permite a las soluciones de seguridad identificar la discrepancia entre el nombre del archivo y su identidad real.
Escalada de privilegios y acceso remoto
Tras la fase inicial, el malware descarga cargas útiles secundarias desde servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2. Posteriormente, el software intenta alterar la configuración del Control de Cuentas de Usuario (UAC) para ejecutar comandos con privilegios elevados. Este paso es crítico, ya que asegura que el malware permanezca activo incluso después de reiniciar el sistema.
En la etapa final, los atacantes despliegan instaladores MSI que suplantan herramientas conocidas como AnyDesk o WinRAR. Estos paquetes no cuentan con firmas digitales, lo que constituye una señal de alerta para los administradores de sistemas. Al instalarse, otorgan acceso remoto total, facilitando el robo de datos o el despliegue de ransomware en la red afectada.
"Capacite a los empleados para reconocer archivos adjuntos sospechosos en WhatsApp y mensajes inesperados, reforzando que incluso las plataformas familiares pueden ser explotadas para la entrega de malware", aconsejó Microsoft en su blog oficial.
Implicaciones para la seguridad corporativa
Este incidente resalta una tendencia creciente donde los atacantes desplazan sus vectores de entrada desde el correo electrónico hacia aplicaciones de mensajería instantánea. A diferencia del email, WhatsApp es percibido como un entorno más personal y seguro, lo que reduce la guardia de los usuarios. La integración de herramientas legítimas para fines maliciosos complica la tarea de los equipos de defensa cibernética.
El sector empresarial deberá priorizar la educación del personal y la implementación de soluciones de detección basadas en metadatos. Se espera que Meta, propietaria de WhatsApp, implemente medidas adicionales para mitigar la distribución de archivos ejecutables sospechosos. La vigilancia sobre los permisos de administrador y el tráfico hacia servicios de nube seguirá siendo fundamental para prevenir futuras intrusiones.