Campaña de phishing en WhatsApp instala malware con archivos VBScript para acceder a PCs

El engaño que comienza en WhatsApp: cómo los ciberdelincuentes usan mensajes falsos para infiltrarse en PCs

Una nueva campaña de phishing está aprovechando la confianza en la mensajería instantánea para distribuir malware con un enfoque inusual: archivos VBScript que, al ejecutarse, entregan control remoto a los atacantes. La táctica comienza con mensajes enviados desde cuentas de WhatsApp comprometidas, que envían archivos aparentemente inocuos pero que contienen scripts maliciosos. Estos archivos, con nombres como "Factura_enero_2024.vbs" o "Informe_financiero_Q4.vbs", están diseñados para engañar a los usuarios y hacer que los descarguen y ejecuten. Una vez abierto, el script inicia una secuencia automatizada que desactiva protecciones del sistema, descarga herramientas legítimas pero manipuladas y establece una conexión con servidores controlados por los atacantes. El objetivo final no es solo robar información, sino tomar el control total del dispositivo infectado.

Lo más preocupante es que los mensajes provienen de contactos conocidos, lo que aumenta significativamente la probabilidad de que las víctimas caigan en la trampa. Los atacantes han logrado comprometer cuentas de WhatsApp en múltiples regiones, incluyendo Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia, Vietnam y Malasia. Aunque se desconoce el método exacto utilizado para tomar el control de las cuentas, la evidencia sugiere que los delincuentes están explotando vulnerabilidades conocidas o técnicas de ingeniería social avanzada. Una vez que el archivo VBScript se ejecuta, el malware comienza a operar en segundo plano, instalando software legítimo como ManageEngine Endpoint Central, que es utilizado por administradores de TI para gestionar sistemas. Sin embargo, en este caso, la herramienta es reconfigurada para conectarse a servidores controlados por los atacantes, permitiéndoles administrar el equipo de manera remota sin el conocimiento del usuario.

Del mensaje al malware: el viaje de un archivo VBScript malicioso

La cadena de infección comienza cuando un usuario recibe un mensaje en WhatsApp que contiene un archivo adjunto con extensión .vbs. Lo que hace única a esta campaña es el uso de VBScript, un lenguaje de scripting basado en Visual Basic que está integrado en los sistemas Windows y que puede ejecutarse directamente mediante Windows Script Host (wscript.exe). Esto significa que, en algunos casos, el archivo no necesita ser descargado manualmente para activarse, especialmente si el usuario está utilizando la versión de escritorio de WhatsApp. Cuando el script se ejecuta, comienza a descargar componentes adicionales desde servidores remotos controlados por los atacantes.

El primer paso del script malicioso es modificar la configuración del Registro de Windows para desactivar las protecciones de Control de Cuentas de Usuario (UAC), una medida de seguridad crítica que evita que aplicaciones no autorizadas realicen cambios importantes en el sistema. Una vez que las protecciones están desactivadas, el script descarga un archivo ZIP que contiene una versión legítima pero manipulada de ManageEngine Endpoint Central. Este software, diseñado originalmente para la gestión centralizada de dispositivos en entornos empresariales, es instalado silenciosamente en el equipo de la víctima. La configuración predeterminada de la herramienta es alterada para que, en lugar de conectarse a servidores legítimos de la organización, establezca una conexión con servidores controlados por los atacantes. Esto permite a los ciberdelincuentes ejecutar comandos, robar datos y mantener acceso persistente al dispositivo infectado.

¿Por qué los atacantes eligen VBScript y documentos financieros?

El uso de VBScript en esta campaña no es casual. Este lenguaje de scripting es nativo en Windows y puede ser ejecutado sin necesidad de instalar herramientas adicionales, lo que lo convierte en una opción atractiva para los atacantes que buscan maximizar la compatibilidad con diferentes versiones del sistema operativo. Además, los archivos .vbs pueden ser fácilmente ofuscados para evitar la detección por parte de soluciones antivirus tradicionales, lo que aumenta las posibilidades de que pasen desapercibidos. Los nombres de los archivos, como "Factura_enero_2024.vbs" o "Informe_financiero_Q4.vbs", están diseñados para aprovechar la curiosidad o la urgencia de los usuarios, especialmente en entornos empresariales donde los documentos financieros son comunes.

Otra característica clave de esta campaña es la localización de los nombres de los archivos en múltiples idiomas, lo que sugiere que los atacantes están adaptando su enfoque para dirigirse a usuarios en diferentes regiones. Esto no solo aumenta el alcance de la campaña, sino que también dificulta la detección temprana, ya que los sistemas de seguridad pueden no estar configurados para reconocer amenazas en idiomas específicos. La combinación de un lenguaje de scripting nativo, archivos con nombres locales y el uso de software legítimo manipulado hace que esta campaña sea particularmente efectiva y difícil de detectar para los usuarios promedio.

El papel de ManageEngine Endpoint Central en la infección

ManageEngine Endpoint Central es una herramienta legítima desarrollada por Zoho Corporation, diseñada para ayudar a los administradores de TI a gestionar y proteger dispositivos en entornos empresariales. Sin embargo, en esta campaña, los atacantes están utilizando una versión manipulada de este software para establecer un punto de entrada persistente en los sistemas infectados. Una vez instalado, el software se configura para conectarse a servidores controlados por los atacantes, lo que les permite ejecutar comandos, robar datos y mantener acceso remoto al dispositivo.

Lo más preocupante es que ManageEngine Endpoint Central es una herramienta ampliamente utilizada en empresas, lo que significa que los atacantes podrían estar explotando la confianza que los usuarios y administradores tienen en este software. Además, al utilizar una herramienta legítima, los atacantes evitan levantar sospechas en sistemas de seguridad que podrían detectar software malicioso desconocido. Esta técnica, conocida como "living-off-the-land", permite a los atacantes operar con mayor discreción y reducir el riesgo de ser detectados por soluciones de seguridad basadas en firmas.

Regiones afectadas y alcance global de la campaña

Según datos de telemetría de Kaspersky, esta campaña de phishing se ha detectado en once países diferentes, lo que indica un alcance global y una operación bien planificada. Las regiones afectadas incluyen Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia, Vietnam y Malasia. La diversidad geográfica sugiere que los atacantes están utilizando técnicas de ingeniería social avanzadas para adaptarse a diferentes culturas y contextos, aumentando así las posibilidades de éxito.

La presencia de la campaña en múltiples países también plantea desafíos para las fuerzas de seguridad y los equipos de respuesta a incidentes, ya que deben coordinar esfuerzos en diferentes jurisdicciones para identificar y detener a los responsables. Además, la localización de los nombres de los archivos en múltiples idiomas indica que los atacantes están personalizando sus mensajes para adaptarse a las preferencias lingüísticas y culturales de sus víctimas, lo que hace que la campaña sea aún más difícil de detectar y mitigar.

¿Cómo protegerse de esta amenaza y qué hacer si eres víctima?

Para los usuarios de WhatsApp, la primera línea de defensa es la precaución. Nunca descargues ni abras archivos adjuntos de remitentes desconocidos, incluso si el mensaje parece provenir de un contacto conocido. Si recibes un archivo inesperado, verifica con el contacto a través de otro canal de comunicación antes de abrirlo. Además, es fundamental mantener el software de seguridad actualizado y configurado para detectar amenazas emergentes. Las soluciones antivirus y antimalware deben estar activadas y actualizadas regularmente para proteger contra este tipo de ataques.

Para los administradores de TI y usuarios avanzados, es recomendable revisar la configuración de UAC en los sistemas Windows y asegurarse de que esté activada para evitar que aplicaciones no autorizadas realicen cambios importantes en el sistema. También es importante monitorear el tráfico de red y buscar conexiones sospechosas a servidores desconocidos, especialmente aquellos que se comunican con herramientas legítimas como ManageEngine Endpoint Central. Si sospechas que tu dispositivo ha sido infectado, desconéctalo de la red inmediatamente y ejecuta un análisis completo con un software de seguridad confiable. En entornos empresariales, es crucial revisar los registros de eventos y buscar signos de actividad inusual en los sistemas gestionados.

El futuro de las campañas de phishing en plataformas de mensajería

Esta campaña es un recordatorio de que los ciberdelincuentes están constantemente evolucionando sus tácticas para aprovechar nuevas plataformas y técnicas. Las plataformas de mensajería instantánea, como WhatsApp, se han convertido en un objetivo atractivo debido a su amplia base de usuarios y la confianza que los usuarios depositan en los mensajes que reciben. A medida que las empresas y los usuarios adoptan cada vez más estas plataformas para la comunicación y el intercambio de archivos, los atacantes seguirán buscando formas de explotar estas tendencias.

Para los desarrolladores de plataformas como WhatsApp, esto subraya la necesidad de implementar medidas de seguridad más robustas, como la verificación de archivos adjuntos y la detección de comportamientos sospechosos en tiempo real. Para los usuarios, la educación y la conciencia sobre los riesgos de phishing siguen siendo las herramientas más efectivas para prevenir infecciones. En un entorno donde las amenazas cibernéticas son cada vez más sofisticadas, la combinación de tecnología, educación y precaución será clave para mantener la seguridad de los dispositivos y datos.