Usuarios de WhatsApp en Windows están siendo blanco de una nueva campaña maliciosa que utiliza archivos adjuntos para ejecutar scripts dañinos en sus equipos, según investigadores de Microsoft. La campaña se basa en la ingeniería social, aprovechando la confianza de los usuarios para que ejecuten archivos .vbs (Visual Basic Script) que parecen inofensivos.
Una vez que el usuario abre el archivo, el script copia herramientas del sistema Windows a una carpeta oculta, renombrándolas para que parezcan legítimas. Estas herramientas, aunque son parte del sistema operativo, son utilizadas para descargar malware. Esta técnica, conocida como “living off the land” (LOTL), evita la detección por parte de los sistemas de seguridad al no introducir archivos maliciosos nuevos.
Los scripts adicionales se descargan desde proveedores de servicios en la nube populares como AWS, Tencent Cloud y Backblaze, lo que dificulta la identificación del tráfico malicioso. Además, el malware intenta elevar sus privilegios a administrador y modifica la configuración del Control de Cuentas de Usuario (UAC) y del registro de Windows para realizar cambios en el sistema de forma silenciosa y persistente, incluso después de reiniciar el equipo.
En la etapa final, se instala un programa MSI sin firmar que despliega software de acceso remoto y otras cargas útiles, permitiendo a los atacantes mantener el control del dispositivo comprometido y acceder a sus datos.
Microsoft ya había identificado y corregido una vulnerabilidad en versiones anteriores de WhatsApp (anteriores a la 2.2450.6) que permitía la ejecución de código arbitrario en sistemas Windows. Sin embargo, este nuevo ataque no se basa en una falla del software, sino en el engaño al usuario.
Esta campaña subraya la importancia de ser cauteloso al abrir archivos adjuntos, incluso si provienen de contactos conocidos, y de mantener el software de seguridad actualizado.
