Microsoft alertó este martes sobre una campaña de ciberataques que utiliza WhatsApp para distribuir paquetes maliciosos de instalación (MSI). La ofensiva, que comenzó a finales de febrero, emplea tácticas de ingeniería social para engañar a los usuarios y obtener control remoto de sus máquinas. Según el reporte, los atacantes buscan acceder a la totalidad de los datos almacenados en los sistemas comprometidos.
Mecanismo de infección y tácticas de ocultamiento
El proceso comienza con el envío de archivos de Visual Basic Script (VBS) a través de la plataforma de mensajería. Los criminales probablemente utilizan sesiones comprometidas para que el mensaje parezca provenir de un contacto conocido o crean un sentido de urgencia para forzar la apertura del archivo. Una vez ejecutado, el script crea carpetas ocultas en el sistema y renombra utilidades legítimas de Windows para evitar la detección.
Para mimetizarse con la actividad normal de la red, los atacantes utilizan una técnica denominada "living off the land". Por ejemplo, renombraron el archivo curl.exe como netapi.dll y bitsadmin.exe como sc.exe. No obstante, Microsoft detectó que estos binarios conservan sus metadatos originales, lo que permite a las soluciones de seguridad identificar la discrepancia entre el nombre del archivo y su identidad real.
Uso de servicios en la nube y escalada de privilegios
Los atacantes utilizan los binarios renombrados para descargar cargas secundarias desde servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2. Posteriormente, el malware intenta alterar la configuración del Control de Cuentas de Usuario (UAC) para ejecutar comandos con privilegios elevados. Este paso es crítico, ya que permite que la infección sobreviva a un reinicio del sistema.
En la etapa final, se despliegan instaladores MSI que suplantan herramientas reales como AnyDesk o WinRAR. Microsoft señaló que ninguno de estos paquetes finales cuenta con una firma digital válida, lo que sirve como una señal de alerta para los administradores de seguridad. Estas herramientas proporcionan acceso remoto total, facilitando el robo de información o el despliegue de ransomware.
"Capacite a los empleados para reconocer archivos adjuntos sospechosos en WhatsApp y mensajes inesperados, reforzando que incluso las plataformas familiares pueden ser explotadas para la entrega de malware", recomendó Microsoft en su blog oficial.
Implicaciones para la seguridad corporativa
Este incidente resalta una tendencia creciente donde los atacantes desplazan sus vectores de entrada desde el correo electrónico hacia aplicaciones de mensajería instantánea. A diferencia del email, WhatsApp goza de una mayor confianza implícita por parte del usuario, lo que incrementa la tasa de éxito de la ingeniería social. Este cambio obliga a las empresas a expandir sus protocolos de seguridad más allá del perímetro tradicional de la oficina.
El impacto económico de este tipo de intrusiones puede ser severo, especialmente si los atacantes logran escalar el acceso a redes corporativas completas. La capacidad de los criminales para utilizar herramientas legítimas y servicios de nube conocidos dificulta la labor de los equipos de respuesta a incidentes. Se espera que las organizaciones refuercen la capacitación de su personal y actualicen sus firmas de detección de metadatos en los próximos meses.