- Kaspersky advierte sobre una campaña de phishing en WhatsApp que difunde archivos VBScript maliciosos disfrazados de documentos comerciales
- Al ejecutarlos, se instala ManageEngine Endpoint Central, lo que brinda a los atacantes acceso remoto; El nombre de archivo localmente extiende el alcance global
- Las víctimas proceden de Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia, Vietnam y Malasia; El mecanismo de compromiso sigue siendo desconocido
Usuarios de WhatsApp, tengan cuidado: se está llevando a cabo una campaña de phishing en la plataforma, que busca infectar sus dispositivos con una plataforma de seguridad de endpoints legítima, pero no solicitada.
Los investigadores de seguridad Kaspersky publicaron recientemente un nuevo informe que detalla una campaña que comenzó con una cuenta de WhatsApp comprometida. No pudieron determinar cómo se comprometieron estas cuentas, pero descubrieron que estaban siendo utilizadas para llegar a los contactos de las víctimas y compartir un archivo VBScript que se hacía pasar por un documento comercial o financiero.
Las personas a las que no les resulta extraño que sus contactos de repente compartan documentos comerciales y los ejecuten encontrarán Endpoint Central de ManageEngine, una plataforma unificada de administración de terminales (UEM) y seguridad de terminales creada para ayudar a los equipos de TI a administrar una flota de computadoras de escritorio, portátiles, servidores, dispositivos móviles y un único terminal.
Dos scripts, un malware
En este caso, sin embargo, no gestionarán nada: simplemente proporcionarán a los atacantes acceso remoto al sistema. Kaspersky dice que la campaña está bastante extendida, con víctimas en Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia, Vietnam y Malasia.
Kaspersky añadió que una de las razones por las que la campaña tuvo tanto éxito a nivel internacional fue que los nombres de los archivos estaban localizados en varios idiomas.
“Basándonos en la evidencia recopilada de múltiples víctimas a través de informes de redes sociales y muestras enviadas, podemos concluir que el actor de la amenaza obtuvo acceso a varias cuentas de WhatsApp y las utilizó para distribuir archivos VBScript maliciosos a contactos en las listas de contactos de los usuarios comprometidos”, dijeron los investigadores de Kaspersky.
“En el momento de escribir este artículo, se desconoce el método exacto utilizado para comprometer estas cuentas de WhatsApp”.
La descarga y ejecución del archivo malicioso en Windows implementa dos scripts que primero deshabilitan la protección UAC y luego implementan UEM. Kaspersky también enfatizó que cuando los usuarios abren WhatsApp en la web, primero deben descargar los archivos, pero cuando abren el cliente de escritorio, los archivos se pueden ejecutar directamente a través de Windows Script Host.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
