Investigadores de Microsoft han descubierto una campaña que aprovecha los archivos adjuntos de WhatsApp para introducir de forma encubierta un script en Windows , lo que permite al atacante obtener el control remoto.
WhatsApp ofrece una aplicación de escritorio para Windows macOS, que los usuarios pueden sincronizar con sus dispositivos móviles. Las versiones de escritorio de WhatsApp suelen utilizarse como extensiones de las aplicaciones móviles, más que como plataformas principales. Por lo tanto, aunque estas aplicaciones tienen un uso generalizado, es probable que su índice de adopción sea considerablemente menor en comparación con las plataformas móviles.
El año pasado, informamos de que Meta había corregido una vulnerabilidad que permitía a un atacante ejecutar código arbitrario en un Windows y que estaba presente en todas las versiones de WhatsApp anteriores a la 2.2450.6.
Sin embargo, los ataques detectados por Microsoft se basan exclusivamente en ingeniería social. El destinatario recibe un archivo adjunto de WhatsApp que parece inofensivo, pero que en realidad es un archivo .vbs (Visual Basic ) que Windows ejecutar.
Si el atacante logra convencer a la víctima de que ejecute el archivo en Windows, el script copia Windows integradas Windows en una carpeta oculta y les asigna nombres engañosos para que, a primera vista, parezcan inofensivas.
Y las herramientas en sí mismas son legítimas, pero se utilizan indebidamente para descargar malware. Se trata de una técnica clásica conocida como «living off the land» (LOTL), que aprovecha lo que ya hay en el sistema en lugar de introducir archivos binarios de malware que podrían ser detectados en un análisis.
Los siguientes scripts se obtienen de proveedores de servicios en la nube muy conocidos, por lo que el tráfico de red parece un acceso normal a AWS, Tencent Cloud o Backblaze, en lugar de a algún servidor sospechoso que despertaría sospechas.
Para desactivar otras posibles alertas, el malware sigue intentando obtener privilegios de administrador y, a continuación, modifica los mensajes del Control de cuentas de usuario (UAC) y la configuración del Registro para poder realizar cambios a nivel del sistema de forma silenciosa y persistir tras los reinicios.
Al final de la cadena de infección, un archivo MSI (Microsoft Installer) sin firmar instala software de acceso remoto y otras cargas maliciosas, lo que proporciona al atacante acceso continuo y directo al equipo y a los datos.
Cómo mantenerse seguro
Para los usuarios particulares y las pequeñas empresas, hay algunas medidas prácticas que pueden tomar para mantenerse a salvo:
- No abras archivos adjuntos no solicitados hasta que hayas comprobado con una fuente fiable que son seguros.
- Activa la opción «Mostrar extensiones de nombre de archivo» en el Explorador para que puedas identificar como tales los archivos que, aunque parezcan imágenes, terminen en .vbs o .msi.
- Utiliza una solución antimalware actualizada y en tiempo real para bloquear las conexiones no deseadas e identificar los archivos maliciosos.
- Descarga el software únicamente desde el sitio web oficial del proveedor y comprueba que los instaladores estén firmados.
- No ignores las señales de alerta. Las ventanas emergentes inesperadas del UAC, la aparición repentina de software nuevo o el ralentizamiento del equipo tras abrir un archivo adjunto de WhatsApp son motivos suficientes para realizar un análisis antimalware y, si es necesario, estar preparado para restaurar el sistema a partir de una copia de seguridad limpia.
- Mantén actualizados Windows el resto de aplicaciones para evitar que se aprovechen de vulnerabilidades conocidas.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
