Kaspersky ha identificado una nueva campaña de malware que utiliza WhatsApp como canal de distribución para archivos maliciosos, afectando a usuarios de múltiples países y territorios, entre ellos España. La compañía, que continúa activa en el momento del análisis, utiliza archivos VBScript (VBS) disfrazados de documentos empresariales y financieros para engañar a los afectados e instalar software legítimo de administración remota en sus dispositivos.

Según los analistas de Kaspersky, la campaña está dirigida principalmente a usuarios de WhatsApp Desktop y WhatsApp Web. Los ciberdelincuentes envían archivos adjuntos con nombres diseñados para parecer documentos reales, como facturas, extractos bancarios, avisos de deuda o comprobantes de pago. Una vez que la víctima descarga y abre el archivo, comienza una cadena de infección que permite a los ciberdelincuentes obtener acceso remoto al sistema.

La investigación, realizada por el equipo Global Research and Analysis Team (GReAT) de Kaspersky, revela que los ciberdelincuentes utilizan cuentas de WhatsApp previamente comprometidas para enviar archivos adjuntos maliciosos a los contactos de las víctimas. Al proceder aparentemente de personas conocidas, los mensajes tienen más probabilidades de generar confianza y conseguir que los usuarios abran los archivos.

La campaña ha afectado a usuarios de diferentes países y territorios, incluyendo España, con el mayor número de víctimas observado en Malasia. El uso de nombres de archivos adaptados a diferentes idiomas apunta además a una distribución amplia por distintas regiones, especialmente Europa.

Archivos falsos que imitan documentos empresariales

Los ciberatacantes recurren a técnicas de ingeniería social mediante archivos que aparentan ser documentos habituales en entornos profesionales, como:
· Facturas
· Extractos bancarios
· Estados de cuenta
· Registro de pagos
· Avisos de deuda

Los nombres de los archivos aparecen adaptados a diferentes idiomas, incluidos inglés, portugués, francés, alemán y malayo, con el objetivo de aumentar la efectividad de la campaña en distintos mercados.

Además, los analistas detectaron que los scripts VBScript incluyen comentarios y metadatos diseñados para aparentar ser componentes legítimos de Microsoft Windows Update, con la finalidad de reducir las sospechas del usuario.

“En esta campaña, los ciberatacantes aprovechan la confianza dentro de las plataformas de mensajería utilizando cuentas de WhatsApp comprometidas para enviar archivos maliciosos que parecen proceder de contactos conocidos, haciendo que los destinatarios sean mucho más propensos a interactuar con ellos. Los nombres de archivo están cuidadosamente diseñados para parecer documentos empresariales habituales, como facturas o avisos de pago, y están adaptados a varios idiomas para facilitar una distribución amplia. Una vez abiertos, desencadenan una cadena de infección por fases que descarga y ejecuta silenciosamente componentes maliciosos adicionales desde una infraestructura externa”, explica Fareed Radzi, investigador de seguridad de Kaspersky GReAT.

Uso de herramientas legítimas para evitar la detección

Una vez que la víctima abre el archivo, comienza un proceso de infección en varias etapas. El script inicial crea una carpeta de trabajo en el sistema, descarga archivos adicionales desde servidores controlados por los atacantes y los ejecuta mediante Windows Script Host.

Posteriormente, estos componentes descargan un archivo comprimido que contiene un paquete de instalación de software de monitorización y administración remota (RMM). Estas herramientas, diseñadas originalmente para tareas legítimas de gestión informática, pueden ser utilizadas por los atacantes para obtener control remoto sobre los dispositivos comprometidos.

En esta campaña, los analistas identificaron el uso de un paquete de despliegue de ManageEngine Endpoint Central, una plataforma empresarial legítima utilizada normalmente para la administración de sistemas, la distribución de software y el soporte remoto.

El abuso de herramientas RMM legítimas se ha convertido en una técnica frecuente entre los ciberdelincuentes, ya que permite ocultar la actividad maliciosa detrás de programas diseñados originalmente para tareas de administración corporal.

Recomendaciones de Kaspersky para su protección

Para evitar caer en este tipo de campañas, Kaspersky recomienda:
· Ser precavido al recibir archivos inesperados por WhatsApp, incluso si parecen proceder de contactos conocidos.
· No abrir archivos de tipo script o ejecutables como .vbs, .vbe, .exe, .bat, .cmd, .js o .ps1 si no se ha verificado previamente su legitimidad.
· Utilizar una solución de seguridad robusta en ordenadores y dispositivos móviles, como Kaspersky Premium, que puede detectar y bloquear intentos de infección.