Mitjançant WhatsApp com a via de distribució d’arxius maliciosos, els atacants envien documents falsos en format VBScript que simulen ser fitxers empresarials. L’operació afecta diversos països, inclòs Espanya, i fa servir eines legítimes per obtenir control remot.

Kaspersky ha detectat una campanya activa que fa servir WhatsApp Desktop i WhatsApp Web per distribuir fitxers VBScript disfressats de factures, extractes bancaris o avisos de deute, amb l’objectiu d’enganyar els usuaris i iniciar una cadena d’infecció que permet que els atacants accedeixin de manera remota al sistema. La campanya ha afectat usuaris de diferents països i territoris, inclòs Espanya, amb un volum més gran de casos detectat a Malàisia, i utilitza noms d’arxiu adaptats a diversos idiomes per ampliar el seu abast a Europa i altres regions.

Segons l’equip Global Research and Analysis Team (GReAT), els ciberdelinqüents fan servir comptes prèviament compromesos per enviar els fitxers maliciosos als contactes de les víctimes, cosa que augmenta la probabilitat que els destinataris confiïn en el missatge i obrin el fitxer.

Els fitxers maliciosos imiten documents habituals en entorns professionals i contenen comentaris dissenyats per semblar components legítims de Windows Update. Un cop executat l’script, s’inicia un procés d’infecció per fases que descarrega fitxers addicionals des de servidors controlats pels atacants i finalment instal·la programari de monitoratge i administració remota (RMM).

Entre les eines identificades hi ha un paquet de desplegament de ManageEngine Endpoint Central, una plataforma legítima que, en aquest context, s’utilitza per obtenir control remot sobre els dispositius compromesos. Kaspersky adverteix que l’abús d’eines RMM ha esdevingut una tècnica freqüent per amagar activitat maliciosa sota programes legítims.

Enginyeria social i abús d’eines legítimes

Els analistes destaquen que la campanya es basa en la confiança inherent a les plataformes de missatgeria. Els fitxers sembla que procedeixen de contactes coneguts i estan acuradament dissenyats per semblar documents empresarials reals. Un cop oberts, desencadenen la descàrrega silenciosa de components addicionals des d’una infraestructura externa.

Per evitar caure en aquest tipus d’atacs, Kaspersky recomana extremar la precaució davant d’arxius inesperats, evitar l’obertura de scripts o executables sense verificar-ne l’origen i utilitzar solucions de seguretat capaces de detectar i bloquejar intents d’infecció.