- Los archivos de WhatsApp entregan malware VBS que se instala silenciosamente y obtiene control total
- Las carpetas ocultas y las herramientas de cambio de nombre de Windows permiten a los atacantes integrarse en las operaciones normales
- El malware recupera scripts secundarios de servicios en la nube confiables para evitar la detección
Microsoft ha detectado una campaña de malware de varias etapas que utiliza WhatsApp para entregar archivos Visual Basic Script (VBS) y explotar la confianza de los usuarios en plataformas de mensajería conocidas.
Los atacantes envían archivos a través de WhatsApp que parecen inofensivos, pero al abrirlos se activa una instalación silenciosa que le da al adversario un control oculto del sistema.
Una vez ejecutados, los scripts crean carpetas ocultas en C:\ProgramData y eliminan versiones renombradas de utilidades válidas de Windows, como curl.exe renombrado a netapi.dll y bitsadmin.exe renombrado a sc.exe.
El artículo continúa a continuación.
Al incorporar estas herramientas en rutas comunes del sistema, los atacantes se aseguran de que las herramientas se combinen con las operaciones de rutina mientras las soluciones de seguridad aún pueden detectar metadatos clave.
El malware modifica la configuración del sistema para iniciarse automáticamente después de cada reinicio, incluso cuando los usuarios creen que han eliminado la amenaza.
Microsoft advierte que este enfoque combina la ingeniería social con técnicas de supervivencia de la tierra y aumenta la ejecución exitosa sin aumentar el estado de alerta inmediato.
“Al combinar plataformas confiables con herramientas legítimas, los actores de amenazas reducen la visibilidad y aumentan la probabilidad de una ejecución exitosa”, dijo Microsoft en una publicación de blog.
Después de la infección inicial, el malware recupera cargas secundarias de servicios en la nube, incluidos AWS S3, Tencent Cloud y Backblaze B2.
Estos droppers, distribuidos como auxs.vbs y WinUpdate_KB5034231.vbs, explotan la infraestructura confiable de la nube y disfrazan las descargas maliciosas como tráfico de red legítimo.
El malware también modifica la configuración de control de cuentas de usuario e intenta repetidamente ejecutar cmd.exe con privilegios elevados hasta que lo logra.
El malware modifica las entradas del registro en HKLM\Software\Microsoft\Win para suprimir las indicaciones de UAC y otorgar derechos administrativos sin que el usuario lo sepa.
En la fase final, los atacantes instalan archivos maliciosos de Microsoft Installer (MSI), como Setup.msi, WinRAR.msi, LinkPoint.msi y AnyDesk.msi en el sistema comprometido.
Estos instaladores no firmados brindan a los atacantes acceso remoto continuo y permiten el robo de datos, la implementación de malware adicional o la integración de máquinas infectadas en botnets.
Microsoft recomienda monitorear la manipulación repetida de UAC y los cambios de registro como indicadores clave de compromiso.
Las organizaciones deben restringir la ejecución de hosts de scripts, monitorear las utilidades del sistema renombradas y educar a los usuarios sobre técnicas de ingeniería social.
Microsoft enfatiza la importancia de la seguridad de la entrega en la nube, la protección contra manipulaciones y la gestión de la detección y respuesta de los terminales en modo de bloqueo.
Los equipos de seguridad deben monitorear de cerca el tráfico en la nube, ya que los métodos de detección tradicionales pueden tener dificultades para distinguir estas actividades de la actividad empresarial rutinaria.
Las herramientas de inteligencia artificial pueden ayudar a analizar anomalías de comportamiento, correlacionar la telemetría e identificar archivos adjuntos sospechosos de WhatsApp.
No tomar precauciones puede provocar una pérdida permanente de datos, ya que los atacantes obtienen control total del dispositivo y acceso a información personal confidencial.
Microsoft enfatiza que incluso un solo clic descuidado puede permitir que este malware eluda las protecciones comunes de los terminales.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
