Microsoft alertó este martes sobre una campaña de ciberataques que utiliza la plataforma WhatsApp para distribuir paquetes maliciosos de instalación (MSI). El ataque, que comenzó a finales de febrero, emplea técnicas de ingeniería social para engañar a los usuarios y obtener control remoto de sus máquinas. Según el reporte, los atacantes buscan acceder a la totalidad de los datos almacenados en los sistemas comprometidos.
El mecanismo de infiltración y ejecución
La cadena de ataque inicia con el envío de un mensaje de WhatsApp que contiene archivos de Visual Basic Script (VBS). Los criminales probablemente utilizan sesiones comprometidas para que el mensaje parezca provenir de un contacto conocido o emplean ganchos basados en la urgencia. Una vez que la víctima ejecuta el archivo, el script crea carpetas ocultas en el sistema y despliega utilidades legítimas de Windows renombradas para evitar la detección.
Para camuflarse, los atacantes utilizan una técnica denominada "living off the land", donde herramientas reales como curl.exe son renombradas como archivos de sistema. No obstante, Microsoft detectó que estos binarios conservan sus metadatos originales, lo que permite a las soluciones de seguridad identificar la discrepancia. Estos archivos renombrados se utilizan luego para descargar cargas útiles secundarias desde servicios de nube como AWS y Tencent Cloud.
Escalada de privilegios y control remoto
Tras la descarga inicial, el malware intenta alterar la configuración del Control de Cuentas de Usuario (UAC) para ejecutar comandos con privilegios elevados. Este paso es crítico, ya que asegura que la infección sobreviva a un reinicio del sistema. Finalmente, los atacantes despliegan instaladores MSI que suplantan software conocido como AnyDesk o WinRAR para establecer el acceso remoto.
"Entrene a los empleados para reconocer archivos adjuntos sospechosos en WhatsApp y mensajes inesperados, reforzando que incluso las plataformas familiares pueden ser explotadas para la entrega de malware", recomendó Microsoft en su blog oficial.
Implicaciones para la seguridad corporativa
Este incidente resalta una tendencia creciente donde los atacantes migran de los correos electrónicos tradicionales hacia aplicaciones de mensajería instantánea para evadir filtros corporativos. A diferencia del phishing por email, los mensajes de WhatsApp suelen generar una confianza inmediata en el usuario. Esta vulnerabilidad humana se convierte en el eslabón más débil de la infraestructura de seguridad de las empresas.
La falta de firmas digitales en los instaladores finales es la principal señal de alerta para los administradores de red. El uso de herramientas legítimas de administración remota permite que el tráfico malicioso se confunda con la actividad normal de soporte técnico. Esto complica la tarea de los equipos de respuesta a incidentes para diferenciar un acceso autorizado de una intrusión.
El despliegue de este malware puede ser el precursor de ataques más severos, como la instalación de ransomware o la creación de redes de computadoras zombis. Las organizaciones deben priorizar la capacitación en ciberseguridad y la implementación de políticas de confianza cero. El mercado de seguridad deberá evolucionar para monitorear la interacción entre aplicaciones móviles y sistemas operativos de escritorio.