(https://external-content.duckduckgo.com/iu/?u=https%3A%2F%2Fwallpapers.com%2Fimages%2Ffeatured%2Fmalware-pzoebmddk159w6u7.jpg&f=1&nofb=1&ipt=a92126b84cb9e701982fa40c3ffc78f6afd982c05421f26ece9817bbbc90f9ed)
Microsoft está alertando sobre una nueva campaña que ha aprovechado mensajes de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBS).
Esta actividad, que comenzó a finales de febrero de 2026, utiliza dichos scripts para iniciar una cadena de infección de múltiples etapas con el fin de establecer persistencia y habilitar el acceso remoto. Actualmente se desconoce qué señuelos emplean los actores de amenazas para engañar a los usuarios y lograr que ejecuten los scripts.
«La campaña se basa en una combinación de ingeniería social y técnicas de "living-off-the-land"», señaló el equipo de investigación de seguridad de Microsoft Defender. «Utiliza utilidades de Windows renombradas para mimetizarse con la actividad normal del sistema, recupera cargas útiles de servicios en la nube de confianza —tales como AWS, Tencent Cloud y Backblaze B2— e instala paquetes maliciosos de Microsoft Installer (MSI) para mantener el control del sistema».
El uso de herramientas legítimas y plataformas de confianza constituye una combinación letal, ya que permite a los actores de amenazas mimetizarse con la actividad normal de la red y aumentar la probabilidad de éxito de sus ataques.
La actividad comienza con la distribución, por parte de los atacantes, de archivos VBS maliciosos a través de mensajes de WhatsApp que, al ejecutarse, crean carpetas ocultas en "C:\ProgramData" y depositan versiones renombradas de utilidades legítimas de Windows, tales como "curl.exe" (renombrada como "netapi.dll") y "bitsadmin.exe" (renombrada como "sc.exe").
(https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3T2dGDeycNnwD0j2ITg_Upqq8_hKJT4EWmZNPPI9cLX7GFLeVlyCvXgJKZFnDSrOfgvykGxGdQTYWsoJ8tuSRy7OikQsfWYz2hbXnIDtCoUkV2YFMRdhRMX16boCRM_YX3Y9E11RJeogUHWZU8Xc5hU6Ehuk_ARwa_17ebTnrjnVtavofc2cXoyPEKesI/s1700-e365/ms-hacker.jpg)
Tras lograr un punto de apoyo inicial, los atacantes tienen como objetivo establecer la persistencia y escalar privilegios, para finalmente instalar paquetes MSI maliciosos en los sistemas de las víctimas. Esto se logra descargando archivos VBS auxiliares alojados en AWS S3, Tencent Cloud y Backblaze B2, utilizando para ello los binarios renombrados.
«Una vez que las cargas útiles secundarias están implementadas, el malware comienza a manipular la configuración del Control de cuentas de usuario (UAC) para debilitar las defensas del sistema», afirmó Redmond. «Intenta continuamente ejecutar cmd.exe con privilegios elevados, reintentando la acción hasta que la elevación de UAC se realiza con éxito o el proceso es terminado forzosamente; asimismo, modifica las entradas del registro bajo HKLM\Software\Microsoft\Win e incrusta mecanismos de persistencia para asegurar que la infección sobreviva a los reinicios del sistema».
Estas acciones permiten a los actores de amenazas obtener privilegios elevados sin interacción del usuario, mediante una combinación de manipulación del Registro y técnicas de elusión del UAC, para finalmente desplegar instaladores MSI sin firma. Esto incluye herramientas legítimas, como AnyDesk, que proporcionan a los atacantes acceso remoto persistente, permitiéndoles exfiltrar datos o desplegar más malware.
«Esta campaña demuestra una cadena de infección sofisticada que combina ingeniería social (distribución a través de WhatsApp), técnicas de sigilo (herramientas legítimas renombradas, atributos ocultos) y el alojamiento de la carga útil en la nube», declaró Microsoft.
Fuente:
The Hacker News
https://thehackernews.com/2026/04/microsoft-warns-of-whatsapp-delivered.html