Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Campaña de malware de WhatsApp

Campaña de malware de WhatsApp

Por Mezo en Software malicioso
Traducir a:

Los ciberdelincuentes están utilizando mensajes directos de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBScript) que, en última instancia, instalan software legítimo de Monitoreo y Administración Remota (RMM) en sistemas comprometidos. La campaña ha afectado a usuarios de WhatsApp Desktop y WhatsApp Web en varios países, entre ellos Malasia, Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia y Vietnam. Malasia ha registrado el mayor número de usuarios afectados.

Los investigadores sospechan que los atacantes obtuvieron acceso no autorizado a varias cuentas de WhatsApp y luego aprovecharon estos perfiles comprometidos para enviar archivos maliciosos a sus contactos. Sin embargo, se desconoce el método exacto utilizado para secuestrar estas cuentas.

Disfrazados de documentos comerciales

Los atacantes recurren a la ingeniería social para persuadir a las víctimas de que abran los archivos maliciosos. Los archivos adjuntos en VBScript se disfrazan de documentos comerciales y financieros legítimos y utilizan nombres de archivo convincentes como "Informes Financieros.vbs" y "Estado de Cuenta.vbs". Para ampliar el alcance internacional de la campaña, algunos archivos también aparecen en idiomas como portugués, francés, alemán y malayo.

Los scripts están altamente ofuscados y contienen extensos comentarios y metadatos diseñados para imitar componentes auténticos de Microsoft Windows Update. Numerosos comentarios están escritos en chino y hacen referencia a funciones como:

  • Módulos de actualización de Windows
  • Procedimientos de validación de certificados
  • Comprobaciones de integridad del sistema
  • Procesos relacionados con el despliegue

Estos elementos tienen como objetivo hacer que los archivos parezcan legítimos y dificultar el análisis de seguridad.

La cadena de infección multietapa permite el acceso remoto.

Una vez ejecutado mediante 'WScript.exe', el script VBScript malicioso inicia un proceso de infección en varias etapas mediante la descarga y ejecución de componentes VBScript adicionales. El objetivo principal del script inicial es obtener dos cargas útiles secundarias de un servidor remoto. Una de ellas intenta manipular el comportamiento del Control de cuentas de usuario (UAC) de Windows, mientras que la otra descarga y ejecuta un archivo ZIP que contiene el paquete de instalación de ManageEngine RMM Central.

La instalación correcta del software RMM legítimo otorga a los atacantes capacidades de acceso remoto, lo que les permite controlar el sistema de la víctima.

Diferentes rutas de ejecución en WhatsApp Web y Escritorio

El proceso de infección varía según la plataforma de WhatsApp que se utilice. En WhatsApp Web, las víctimas deben descargar el archivo y abrirlo manualmente desde la carpeta de descargas o el historial del navegador, creyendo que se trata de un documento legítimo.

En cambio, la aplicación de escritorio de WhatsApp permite que el malware se ejecute directamente en el entorno del cliente. El análisis de procesos muestra que 'WhatsApp.Root.exe', el proceso en segundo plano de la aplicación, es el responsable de iniciar 'WScript.exe', que a su vez inicia la cadena maliciosa.

Posibles conexiones con operaciones de malware anteriores

Aunque la campaña no se ha atribuido formalmente a un grupo de amenazas específico, los investigadores han identificado similitudes en la infraestructura con actividades maliciosas previas asociadas a las familias de malware Gh0st RAT y ValleyRAT. Estas similitudes sugieren que la operación podría compartir recursos o tácticas con campañas cibercriminales anteriores.

Precauciones esenciales para los usuarios de WhatsApp

Los expertos en seguridad recomiendan a los usuarios que tengan precaución al recibir archivos adjuntos inesperados a través de WhatsApp, incluso si los mensajes parecen provenir de contactos de confianza. Los siguientes tipos de archivos nunca deben abrirse a menos que se haya confirmado de forma independiente su legitimidad:

  • Archivos de script VBS y VBE
  • Archivos ejecutables como EXE, BAT y CMD
  • Formatos basados en scripts, incluidos JS y PS1.

Verificar los archivos adjuntos antes de abrirlos sigue siendo una de las defensas más eficaces contra las campañas de malware que explotan las plataformas de comunicación de confianza.

Mas Visto

Cargando...