Kaspersky ha detectado una nueva campaña de malware que se distribuye a través de WhatsApp, afectando a usuarios en España y otros países. Esta amenaza utiliza archivos VBScript (VBS) disfrazados de documentos empresariales y financieros para engañar a las víctimas y lograr instalar software legítimo de administración remota en sus dispositivos.
Según el equipo Global Research and Analysis Team (GReAT) de Kaspersky, los ciberdelincuentes comprometen cuentas de WhatsApp para enviar archivos maliciosos a los contactos de las víctimas. Al parecer, los mensajes parecen proceder de personas conocidas, lo que aumenta la confianza y la probabilidad de que los usuarios abran los archivos adjuntos.
Los archivos maliciosos se presentan con nombres que imitan documentos habituales en entornos profesionales, como facturas, extractos bancarios, estados de cuenta, registros de pagos o avisos de deuda. Estos nombres están adaptados a varios idiomas, incluidos inglés, portugués, francés, alemán y malayo, lo que indica una distribución amplia, especialmente en Europa y con un gran número de víctimas en Malasia.
Los scripts VBScript contienen comentarios y metadatos diseñados para parecer componentes legítimos de Microsoft Windows Update, con el fin de reducir las sospechas de los usuarios. La campaña aprovecha la confianza que existe en las plataformas de mensajería para facilitar la interacción con los archivos maliciosos.
Una vez que la víctima abre el archivo, se inicia una cadena de infección en varias fases. El script crea una carpeta de trabajo en el sistema, descarga archivos adicionales desde servidores controlados por los atacantes y los ejecuta mediante Windows Script Host. Posteriormente, estos componentes descargan un archivo comprimido que contiene un paquete de instalación de software de monitorización y administración remota (RMM).
El software RMM utilizado en esta campaña es ManageEngine Endpoint Central, una plataforma empresarial legítima que normalmente se emplea para la administración de sistemas, distribución de software y soporte remoto. Los atacantes explotan estas herramientas para obtener control remoto sobre los dispositivos comprometidos, ocultando así su actividad maliciosa detrás de programas diseñados para tareas administrativas.
Para protegerse de este tipo de ataques, Kaspersky recomienda ser precavido al recibir archivos inesperados por WhatsApp, incluso si parecen proceder de contactos conocidos. Se aconseja no abrir archivos de tipo script o ejecutables con extensiones como .vbs, .vbe, .exe, .bat, .cmd, .js o .ps1 sin verificar previamente su legitimidad.
Además, es fundamental utilizar soluciones de seguridad robustas en ordenadores y dispositivos móviles, como Kaspersky Premium, que pueden detectar y bloquear intentos de infección.
Kaspersky, compañía global de ciberseguridad fundada en 1997, protege a más de mil millones de dispositivos frente a amenazas emergentes y ataques dirigidos. Su experiencia en inteligencia de amenazas se traduce en soluciones innovadoras para particulares, empresas, infraestructuras críticas y gobiernos en todo el mundo.