Investigadores de Microsoft Defender han identificado una nueva campaña dirigida de malware distribuido a través de WhatsApp, en la que los atacantes emplean scripts VBS maliciosos, técnicas de Living‑off‑the‑Land y herramientas de acceso remoto como AnyDesk para obtener control persistente de equipos con Windows. La actividad, observada desde finales de febrero de 2026, combina ingeniería social, abuso de utilidades legítimas y uso de nubes de confianza para evadir la mayoría de los controles de seguridad tradicionales.
Ataque vía WhatsApp: ingeniería social con scripts VBS maliciosos
El vector inicial del ataque se basa en ingeniería social a través de mensajes de WhatsApp. La víctima recibe un archivo con extensión .vbs (VBScript), presentado como documento, factura, aviso de mensajería, actualización importante u otro contenido aparentemente legítimo. Estudios como el Verizon Data Breach Investigations Report (DBIR) señalan que entre el 80 % y el 90 % de las intrusiones exitosas implican el factor humano, y este caso ilustra de forma clara esa tendencia.
Al ejecutar el script, el malware crea directorios ocultos en C:\ProgramData y almacena en ellos componentes renombrados que imitan ficheros de sistema. Esta técnica de camuflaje reduce la probabilidad de que usuarios o administradores sospechen de la actividad, al tiempo que dificulta la detección basada en firmas simples.
Living‑off‑the‑Land: abuso de utilidades de Windows y nubes legítimas
Un rasgo distintivo de esta campaña es el amplio uso del enfoque Living‑off‑the‑Land (LotL), es decir, el aprovechamiento de herramientas ya presentes en el sistema operativo y la infraestructura para ejecutar acciones maliciosas sin introducir binarios claramente sospechosos.
El script VBS copia y renombra utilidades nativas de Windows como curl.exe y bitsadmin.exe. Por ejemplo, curl.exe pasa a llamarse netapi.dll y bitsadmin.exe se oculta bajo el nombre sc.exe. Aunque se trata de binarios legítimos, el cambio de nombre dificulta su identificación y correlación con actividad anómala.
Con estos ejecutables renombrados, el malware se conecta a servicios en la nube de alta confianza, entre ellos AWS S3, Tencent Cloud y Backblaze B2, desde donde descarga nuevas etapas del ataque (más scripts VBS y otros ficheros). Dado que estas plataformas son ampliamente utilizadas para fines legítimos, su tráfico suele considerarse seguro, lo que complica a los equipos de seguridad bloquear estas comunicaciones sin generar falsos positivos relevantes.
Escalada de privilegios, bypass de UAC y persistencia en el sistema
Una vez obtenidos los componentes adicionales, la campaña se centra en la escalada de privilegios y el establecimiento de persistencia en el equipo comprometido. Según Microsoft, el código malicioso modifica parámetros de User Account Control (UAC) mediante cambios directos en el Registro de Windows, incluyendo claves bajo rutas como HKLM\Software\Microsoft\Win.
El objetivo es reducir las protecciones de UAC para poder ejecutar procesos con privilegios elevados sin requerir confirmación explícita del usuario. El script intenta repetidamente iniciar cmd.exe con privilegios de administrador, en bucles continuos, hasta lograr el bypass de UAC o ser bloqueado por una solución de seguridad.
De forma paralela, el malware configura mecanismos de arranque automático en el Registro y en directorios del sistema, lo que garantiza la ejecución del código malicioso tras cada reinicio. Esta fase convierte un incidente aislado (la apertura de un archivo VBS en WhatsApp) en un compromiso persistente a largo plazo dentro del entorno de la víctima.
MSI maliciosos y acceso remoto persistente mediante AnyDesk
Al conseguir privilegios administrativos, los atacantes descargan e instalan paquetes MSI maliciosos. En muchos casos, se combinan componentes desarrollados por los propios actores con herramientas legítimas de administración remota, destacando el uso de AnyDesk como canal de acceso remoto encubierto.
La ausencia de firma digital en algunos de estos paquetes MSI, sumada al bypass de UAC, permite su instalación sin conocimiento del usuario. Una vez desplegadas estas herramientas, los atacantes pueden controlar de forma completa el dispositivo comprometido, exfiltrar información confidencial, instalar software adicional o desplegar malware secundario, como ransomware o utilidades para moverse lateralmente por la red corporativa.
Impacto y riesgo para organizaciones y usuarios domésticos
Esta campaña combina varios elementos que incrementan notablemente su peligrosidad: WhatsApp como canal masivo de distribución, servicios en la nube de confianza como origen de las descargas, utilidades de Windows para ejecutar comandos y manipulación directa de controles de seguridad integrados como UAC y el Registro.
El resultado es una amenaza que puede eludir filtros de contenido, controles web, soluciones antivirus basadas en firmas e incluso algunas plataformas EDR si no cuentan con detecciones centradas en comportamiento, monitorización de scripts y anomalías en el uso de herramientas de línea de comandos y tráfico hacia nubes públicas.
Medidas de protección frente a malware distribuido por WhatsApp
Para reducir la superficie de ataque, las organizaciones y usuarios deberían adoptar un conjunto de medidas técnicas y de concienciación. Entre las recomendaciones clave destacan:
1. Restringir la ejecución de scripts (VBS, PowerShell, JavaScript) procedentes de fuentes no confiables, mediante políticas de grupo, AppLocker o soluciones de control de aplicaciones.
2. Aplicar listas blancas para instaladores MSI, permitiendo solo paquetes firmados o aprobados explícitamente por el área de TI, y bloqueando instalaciones no autorizadas por parte de usuarios estándar.
3. Controlar el uso de herramientas de acceso remoto como AnyDesk, TeamViewer u otras, centralizando su despliegue, registrando su uso y prohibiendo su instalación autónoma por usuarios finales.
4. Monitorizar utilidades como curl y bitsadmin, especialmente cuando se utilizan para conectarse a servicios en la nube externos, estableciendo alertas ante patrones de uso anómalos o no esperados en el entorno.
5. Fortalecer UAC y el Registro, evitando relajar configuraciones por comodidad y revisando periódicamente cambios no autorizados en claves de inicio automático y parámetros de seguridad.
En un escenario donde los atacantes combinan ingeniería social en WhatsApp, técnicas Living‑off‑the‑Land y abuso de nubes legítimas, la defensa eficaz exige una mezcla de tecnología, políticas y formación. Revisar las políticas de ejecución de scripts, endurecer los controles sobre instaladores y herramientas remotas y reforzar la concienciación de usuarios frente a archivos que llegan por mensajería instantánea son pasos esenciales para minimizar el riesgo y elevar significativamente el nivel de ciberseguridad general.
