Una nueva campaña de malware está utilizando activamente WhatsApp para distribuir archivos dañinos directamente a usuarios de Windows, explotando la confianza generalizada en aplicaciones de mensajería cotidianas. Los actores de amenazas envían archivos maliciosos de Visual Basic Script (VBS) a través de mensajes de WhatsApp, sabiendo que los usuarios rara vez cuestionan los adjuntos provenientes de plataformas conocidas.

Una nueva campaña de malware está utilizando activamente WhatsApp para distribuir archivos dañinos directamente a usuarios de Windows, explotando la confianza generalizada en las aplicaciones de mensajería cotidianas.

Los actores de amenazas envían archivos maliciosos de Visual Basic Script (VBS) a través de mensajes de WhatsApp, sabiendo que los usuarios rara vez cuestionan los adjuntos provenientes de plataformas conocidas. Una vez que un destinatario ejecuta uno de estos archivos, un proceso de infección silencioso se activa en segundo plano, sin ninguna advertencia visible que alerte al usuario.

Esta campaña destaca por lo astutamente que se oculta dentro de un entorno operativo normal. Los atacantes utilizan técnicas de “living-off-the-land” —un método en el que los actores de amenazas dependen de herramientas que Windows ya tiene, en lugar de introducir programas desconocidos.

Utilidades legítimas como curl.exe y bitsadmin.exe son renombradas para parecer archivos del sistema estándar, y luego se colocan en carpetas ocultas dentro de C:\ProgramData. Las cargas útiles secundarias se descargan desde servicios en la nube confiables como AWS S3, Tencent Cloud y Backblaze B2, haciendo que las descargas maliciosas parezcan tráfico del sistema rutinario.

El Equipo de Investigación de Seguridad de Microsoft Defender identificó por primera vez esta campaña a finales de febrero de 2026. Los investigadores señalaron que la operación combina ingeniería social con técnicas de infección sigilosas, trabajando en múltiples etapas para instalar paquetes MSI maliciosos, mantener la persistencia tras reinicios del sistema y abrir canales de acceso remoto que otorgan a los atacantes control total y continuo sobre cualquier máquina que logren comprometer.

La campaña finalmente entrega un conjunto de paquetes de instalación MSI sin firmar, incluyendo Setup.msi, WinRAR.msi, LinkPoint.msi y AnyDesk.msi. La ausencia de un certificado de firma de código válido en los cuatro archivos es una clara señal de advertencia, ya que el software empresarial legítimo suele llevar la firma de un editor confiable.

Una vez que estos instaladores se ejecutan, establecen acceso remoto persistente, dando a los atacantes la capacidad de robar datos, desplegar malware adicional o utilizar el sistema comprometido como parte de una operación de ataque más amplia.

Cómo se desarrolla el ataque: de VBS al compromiso total del sistema

El ataque comienza cuando un usuario ejecuta el archivo VBS malicioso recibido a través de WhatsApp. El script crea inmediatamente carpetas ocultas dentro de C:\ProgramData y coloca versiones renombradas de herramientas legítimas de Windows —curl.exe se convierte en netapi.dll, y bitsadmin.exe se disfraza como sc.exe.

A pesar de los cambios de nombre, ambos archivos aún conservan sus metadatos PE originales, específicamente el campo OriginalFileName. Esta discrepancia entre el nombre visible y los metadatos incrustados es una señal detectable que las herramientas de seguridad pueden usar para marcar la amenaza.

Estas herramientas renombradas luego descargan cargas útiles VBS secundarias desde la infraestructura en la nube del atacante, incluyendo archivos llamados auxs.vbs y WinUpdate_KB5034231.vbs. Alojar estos archivos en plataformas conocidas como AWS S3 y Backblaze B2 es un movimiento deliberado, ya que los firewalls corporativos rara vez bloquean el tráfico hacia estos servicios.

Los nombres de los archivos también están diseñados para parecerse a paquetes de actualización legítimos de Windows, reduciendo la posibilidad de que alguien note las descargas o cuestione su origen.

Una vez que los scripts secundarios llegan al sistema, el malware comienza a manipular la configuración del Control de Cuentas de Usuario (UAC). Intenta continuamente ejecutar cmd.exe con privilegios elevados, modificando entradas del registro bajo HKLM\Software\Microsoft\Win hasta que se obtienen derechos administrativos.

Con esos derechos en mano, suprime por completo las alertas de seguridad, asegurando que los instaladores MSI finales se ejecuten sin activar ninguna advertencia o interrupción que pueda alertar al usuario o a un administrador de TI.

Microsoft recomienda que las organizaciones bloqueen hosts de scripts como wscript y cscript para que no se ejecuten en rutas no confiables, y monitoreen las utilidades de Windows renombradas que se ejecuten con banderas de línea de comandos poco comunes. Los equipos de seguridad deben inspeccionar y filtrar el tráfico hacia plataformas en la nube como AWS S3, Tencent Cloud y Backblaze B2, ya que los atacantes dependen de estos servicios para entregar cargas útiles secundarias sin ser detectados.

Los cambios en el registro bajo HKLM\Software\Microsoft\Win deben rastrearse en tiempo real, y cualquier manipulación repetida del UAC debe marcarse como un indicador activo de compromiso. Activar el EDR en modo bloqueo detiene artefactos maliciosos incluso si la solución antivirus principal no los detecta, mientras que activar la protección contra manipulaciones evita que los atacantes desactiven los servicios de seguridad después del compromiso.

Configurar reglas de reducción de la superficie de ataque para bloquear que VBScript ejecute ejecutables descargados añade una capa crítica adicional. Capacitar a los usuarios finales para que cuestionen los adjuntos inesperados de WhatsApp —incluso de contactos conocidos— sigue siendo una de las formas más directas de detener este ataque antes de que comience.