Microsoft detectó una campaña de ciberataques iniciada a finales de febrero que utiliza la plataforma WhatsApp para distribuir archivos maliciosos. Los atacantes emplean técnicas de ingeniería social para engañar a los usuarios y lograr que ejecuten scripts de Visual Basic (VBS) en sus sistemas. Una vez activados, estos archivos permiten a los criminales tomar el control total de las máquinas y acceder a toda la información almacenada.
El método de infiltración y engaño
Según informó el medio The Register, los atacantes podrían estar utilizando sesiones comprometidas de WhatsApp para que los mensajes parezcan provenir de contactos conocidos. En otros casos, emplean ganchos basados en la urgencia para forzar al receptor a abrir el archivo rápidamente. Esta táctica busca evadir la sospecha inicial del usuario mediante la confianza en la plataforma de mensajería.
Una vez ejecutado el script, el malware crea carpetas ocultas en el directorio C:\ProgramData y despliega utilidades legítimas de Windows renombradas. Por ejemplo, el archivo curl.exe es renombrado como netapi.dll para camuflarse entre la actividad normal del sistema. Esta técnica, conocida como "living off the land", dificulta la detección por parte de los administradores de red tradicionales.
"Estos binarios renombrados conservan sus metadatos originales de PE (Portable Executable), incluyendo el campo OriginalFileName que aún los identifica como curl.exe y bitsadmin.exe", detallaron los investigadores de Microsoft en un blog publicado el martes.
El despliegue de instaladores maliciosos
Los atacantes utilizan estas herramientas para descargar cargas útiles secundarias desde servicios en la nube confiables como AWS, Tencent Cloud y Backblaze B2. Posteriormente, el malware intenta elevar sus privilegios modificando la configuración del Control de Cuentas de Usuario (UAC) para asegurar su persistencia tras el reinicio del sistema. Este proceso es crítico para que el atacante mantenga el acceso a largo plazo.
En la fase final, se despliegan instaladores MSI maliciosos que suplantan software conocido como AnyDesk, WinRAR o LinkPoint. Microsoft señaló que ninguno de estos instaladores finales posee una firma digital válida, lo que representa una señal de alerta clave para las soluciones de seguridad. Estos programas otorgan acceso remoto total, facilitando el despliegue de ransomware o el robo de datos sensibles.
Implicaciones para la seguridad corporativa
Este incidente resalta una tendencia creciente donde los atacantes migran de los correos electrónicos tradicionales hacia aplicaciones de mensajería instantánea para evadir filtros corporativos. La integración de herramientas legítimas y servicios de nube conocidos hace que el tráfico malicioso sea casi indistinguible de las operaciones empresariales habituales. La vulnerabilidad ya no reside solo en el software, sino en el comportamiento humano.
Microsoft recomienda a las organizaciones priorizar la capacitación de sus empleados para reconocer adjuntos sospechosos, incluso en plataformas familiares. La empresa sugiere que la educación en ingeniería social es la defensa más efectiva contra este tipo de intrusiones. Se espera que las empresas de ciberseguridad actualicen sus firmas de detección para identificar las discrepancias de metadatos mencionadas en el reporte.