Kaspersky alerta de una campaña de malware distribuida por WhatsApp
- Seguridad
Utilizando WhatsApp como vía de distribución de archivos maliciosos, los atacantes envían documentos falsos en formato VBScript que simulan ser archivos empresariales. La operación afecta a varios países, incluido España, y emplea herramientas legítimas para obtener control remoto.
Kaspersky ha detectado una campaña activa que utiliza WhatsApp Desktop y WhatsApp Web para distribuir archivos VBScript disfrazados de facturas, extractos bancarios o avisos de deuda, con el objetivo de engañar a los usuarios e iniciar una cadena de infección que permite a los atacantes acceder de forma remota al sistema. La campaña ha afectado a usuarios de distintos países y territorios, incluido España, con un mayor volumen de casos detectado en Malasia, y utiliza nombres de archivo adaptados a varios idiomas para ampliar su alcance en Europa y otras regiones.
Según el equipo Global Research and Analysis Team (GReAT), los ciberdelincuentes emplean cuentas previamente comprometidas para enviar los archivos maliciosos a los contactos de las víctimas, aumentando así la probabilidad de que los destinatarios confíen en el mensaje y abran el archivo.
Los archivos maliciosos imitan documentos habituales en entornos profesionales y contienen comentarios diseñados para parecer componentes legítimos de Windows Update. Una vez ejecutado el script, se inicia un proceso de infección por fases que descarga archivos adicionales desde servidores controlados por los atacantes y finalmente instala software de monitorización y administración remota (RMM).
Entre las herramientas identificadas se encuentra un paquete de despliegue de ManageEngine Endpoint Central, una plataforma legítima que, en este contexto, se utiliza para obtener control remoto sobre los dispositivos comprometidos. Kaspersky advierte de que el abuso de herramientas RMM se ha convertido en una técnica frecuente para ocultar actividad maliciosa bajo programas legítimos.
Ingeniería social y abuso de herramientas legítimas
Los analistas destacan que la campaña se basa en la confianza inherente a las plataformas de mensajería. Los archivos parecen proceder de contactos conocidos y están cuidadosamente diseñados para parecer documentos empresariales reales. Una vez abiertos, desencadenan la descarga silenciosa de componentes adicionales desde infraestructura externa.
Para evitar caer en este tipo de ataques, Kaspersky recomienda extremar la precaución ante archivos inesperados, evitar la apertura de scripts o ejecutables sin verificar su origen y utilizar soluciones de seguridad capaces de detectar y bloquear intentos de infección.
