Microsoft alertó este martes sobre una campaña de ciberataques multiestapa que utiliza la aplicación de mensajería WhatsApp para comprometer sistemas operativos Windows. La ofensiva, que comenzó a finales de febrero, distribuye paquetes maliciosos de Microsoft Installer (MSI) que permiten a los atacantes tomar el control total de las máquinas víctimas. Según el reporte, el objetivo final es el acceso irrestricto a los datos del usuario y la posible instalación de ransomware.
El mecanismo de infiltración y engaño
El ataque se inicia con un mensaje de WhatsApp que contiene archivos de Visual Basic Script (VBS). Los atacantes emplean técnicas de ingeniería social, posiblemente utilizando sesiones comprometidas para que el mensaje parezca provenir de un contacto conocido o creando un sentido de urgencia. Una vez que la víctima ejecuta el archivo, el script crea carpetas ocultas en el directorio C:\ProgramData para desplegar herramientas del sistema renombradas.
Para evadir la detección, los criminales utilizan una técnica denominada "living off the land", donde herramientas legítimas de Windows se usan para fines maliciosos. Por ejemplo, el ejecutable curl.exe es renombrado como netapi.dll para mezclarse con la actividad normal de la red. No obstante, Microsoft detectó que estos binarios conservan sus metadatos originales, lo que permite a las soluciones de seguridad identificar la discrepancia.
Escalada de privilegios y control remoto
Tras la fase inicial, el malware descarga cargas útiles secundarias desde servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2. El software malicioso intenta alterar la configuración del Control de Cuentas de Usuario (UAC) para ejecutar el símbolo del sistema con privilegios elevados. Si el proceso tiene éxito, el malware logra persistencia en el sistema, sobreviviendo incluso a los reinicios del equipo.
La etapa final consiste en el despliegue de instaladores MSI que suplantan herramientas reales como AnyDesk, WinRAR y LinkPoint. Estos instaladores no cuentan con firmas digitales, una señal crítica para los administradores de seguridad. Una vez instalados, otorgan a los atacantes acceso remoto completo para extraer información sensible o convertir la máquina en parte de una red de ataque más amplia.
"Entrene a los empleados para reconocer adjuntos sospechosos en WhatsApp y mensajes inesperados, reforzando que incluso las plataformas familiares pueden ser explotadas para la entrega de malware", recomendó Microsoft en su blog oficial.
Impacto en la seguridad corporativa
Este incidente resalta una tendencia creciente donde los atacantes abandonan el correo electrónico tradicional en favor de aplicaciones de mensajería cifrada para evadir los filtros corporativos. A diferencia del phishing por email, los ataques vía WhatsApp aprovechan la confianza inherente del usuario en sus contactos personales. Esta vulnerabilidad humana se convierte en el eslabón más débil de la cadena de seguridad informática.
El uso de infraestructura de nube legítima para alojar el malware complica la tarea de los equipos de respuesta a incidentes. Al provenir de dominios reputados, el tráfico malicioso no dispara las alarmas automáticas de muchos cortafuegos empresariales. Esto obliga a las organizaciones a implementar estrategias de detección basadas en el comportamiento y no solo en listas negras de dominios.
La industria deberá observar ahora si Meta implementa nuevas capas de seguridad para mitigar la distribución de archivos ejecutables en su plataforma. Mientras tanto, la capacitación continua del personal sigue siendo la defensa más efectiva contra la ingeniería social. Se espera que Microsoft actualice sus firmas de Defender para bloquear proactivamente estas variantes de MSI no firmados.