Nueva oleada de ataques a WhatsApp se extiende a través de las listas de contactos
El ataque comienza con un adjunto aparentemente inocuo en el que es fácil confiar.
La confianza en un remitente conocido se convierte cada vez más en un punto débil de la protección, y una nueva campaña contra usuarios de WhatsApp se basa precisamente en ese cálculo. Los atacantes envían archivos maliciosos desde cuentas ya comprometidas, disfrazando los adjuntos como documentos comerciales y financieros.
Según Kaspersky Lab, los ataques afectaron a usuarios en Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia, Vietnam y Malasia. Los mensajes provienen de contactos reales de la víctima y contienen un archivo VBS altamente ofuscado. Los nombres de estos archivos se adaptan al idioma del destinatario y se presentan como informes, facturas, avisos de cuenta u otros documentos laborales.
Si el usuario descarga y ejecuta el adjunto en Windows, el script se comunica con la infraestructura de los atacantes y descarga dos scripts adicionales. La siguiente fase modifica claves del registro, desactiva la protección UAC y descarga un archivo ZIP con ManageEngine Endpoint Central. Esta herramienta legítima normalmente ayuda a los administradores a gestionar equipos desde un panel único, pero en esta campaña el programa conecta sigilosamente el equipo comprometido a los servidores de los atacantes.
Los expertos de Kaspersky precisan que al enviar el archivo a través de WhatsApp Web el adjunto debe descargarse primero, mientras que en el cliente de escritorio de WhatsApp el archivo puede ejecutarse directamente mediante Windows Script Host. El método exacto para comprometer cuentas de WhatsApp aún no está establecido. Los especialistas hallaron rastros de idioma chino y solapamientos de infraestructura con direcciones que antes se relacionaban con la actividad de ValleyRAT y Gh0st RAT, pero no hay pruebas suficientes para una atribución concluyente.
Una comprobación simple de los adjuntos ayuda a reducir el riesgo por otro canal de comunicación, incluso si el archivo llegó de un contacto conocido. Los documentos descargados deben escanearse con un antivirus actualizado antes de ejecutarlos, y es mejor no abrir en absoluto archivos VBS sospechosos.