Mastodon Mastodon Mastodon Mastodon

Uso de scripts VBScript en WhatsApp para desplegar RMM remoto

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Según los investigadores de Kaspersky, se ha detectado una campaña activa en la que, a través de mensajes privados de WhatsApp, se distribuyen archivos maliciosos de Visual Basic Script (VBScript), que inician una cadena de infección en varias etapas con la instalación final de la herramienta legítima de administración remota ManageEngine RMM Central. La campaña afecta a usuarios de WhatsApp Desktop y WhatsApp Web en 11 países — Malasia, Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia y Vietnam; la mayor concentración de víctimas se ha registrado en Malasia. Se recomienda a los usuarios de ambas versiones de WhatsApp no abrir adjuntos de scripts, incluso si se han recibido de contactos conocidos.

Mecanismo de infección inicial

Según se informa, los atacantes presuntamente obtuvieron acceso no autorizado a varias cuentas de WhatsApp y las utilizaron para enviar archivos maliciosos a las listas de contactos de las víctimas. El método exacto de compromiso de las cuentas sigue siendo desconocido en este momento; se trata de una laguna importante en la comprensión de la campaña que impide evaluar el alcance del vector inicial.

Los archivos VBScript se hacen pasar por documentos empresariales y financieros con nombres como «Financial Reports.vbs» o «Account Statement.vbs». Parte de las muestras tiene nombres en portugués, francés, alemán y malayo, lo que refleja el alcance global de la operación. La apuesta es que el destinatario tome el adjunto por un documento legítimo de un remitente conocido y lo abra.

Cadena técnica de infección

El comportamiento de la cadena de infección varía en función de la plataforma:

  • WhatsApp Web: el ataque requiere que el usuario descargue manualmente el archivo y lo abra desde la carpeta de descargas o a través del historial de descargas del navegador.
  • WhatsApp Desktop: el código malicioso se ejecuta directamente dentro de la aplicación: el proceso WhatsApp.Root.exe genera WScript.exe, que lanza el script.

El segundo escenario reviste especial interés: en la práctica, el proceso legítimo del cliente de escritorio de WhatsApp se convierte en el proceso padre del intérprete de scripts de Windows. Esto puede dificultar su detección mediante herramientas de monitorización que no controlan la creación de WScript.exe por parte de procesos de mensajería.

Según los investigadores, los propios archivos VBScript están fuertemente ofuscados y contienen amplios comentarios y metadatos que imitan componentes legítimos de actualización de Microsoft Windows. Es destacable que muchos de estos comentarios están escritos en chino e incluyen referencias a módulos de Windows Update, comprobación de certificados, control de integridad del sistema y funciones de despliegue. Esto puede ser tanto un indicador del origen de las herramientas como un intento deliberado de falsa atribución.

Fases de ejecución

Tras iniciarse mediante WScript.exe, el VBScript inicial descarga desde un servidor remoto dos scripts secundarios:

  1. Módulo de evasión de UAC — intenta modificar el comportamiento del mecanismo de Control de cuentas de usuario de Windows (User Account Control), lo que resulta necesario para elevar privilegios sin mostrar el cuadro estándar de confirmación.
  2. Cargador de RMM — descarga y descomprime un archivo ZIP con el paquete de instalación de ManageEngine RMM Central, proporcionando al atacante acceso remoto completo al sistema de la víctima.

El uso de una herramienta legítima de administración remota es una técnica habitual que permite eludir la detección antivirus: por sí mismo, el agente RMM no es software malicioso y a menudo figura en las listas de aplicaciones de confianza en entornos corporativos.

Contexto de la amenaza y atribución

Por el momento, la campaña no se ha atribuido a ningún grupo concreto. Kaspersky señala un solapamiento de infraestructura — la dirección IP 202.61.160[.]201 — con actividad previa vinculada a Gh0st RAT y ValleyRAT. No obstante, la coincidencia de infraestructura por sí sola no basta para una atribución fiable: distintas agrupaciones pueden reutilizar direcciones IP, alquilarlas a los mismos proveedores de alojamiento o emplearlas deliberadamente para desviar la atención.

Cabe señalar que, en el momento de la publicación, no existe confirmación oficial ni comentarios por parte de Meta (propietaria de WhatsApp) ni de ManageEngine en relación con esta campaña. Todos los detalles técnicos se basan en la investigación de Kaspersky.

Evaluación del impacto

La campaña supone un riesgo elevado por varios motivos:

  • Confianza en el remitente: los mensajes proceden de cuentas comprometidas de contactos reales, lo que incrementa drásticamente la probabilidad de que se abra el adjunto.
  • Amplia distribución geográfica: el alcance en 11 países de cuatro continentes, con cebos en varios idiomas, indica una operación de gran escala y bien preparada.
  • Legitimidad de la herramienta final: ManageEngine RMM Central es un producto comercial que no se detecta como software malicioso, lo que dificulta la identificación de la intrusión.
  • Particularidad de WhatsApp Desktop: la creación automática de WScript.exe desde el proceso del mensajero genera un vector de ejecución menos evidente para el usuario.

Recomendaciones de protección

  • Bloqueo de extensiones de scripts: configure directivas de grupo o soluciones de protección de endpoints para bloquear la ejecución de archivos con extensiones .vbs, .vbe, .js, .bat, .cmd, .ps1, .exe recibidos a través de mensajeros.
  • Monitorización del árbol de procesos: configure reglas EDR para detectar casos en los que WhatsApp.Root.exe genere WScript.exe o cscript.exe; se trata de un comportamiento anómalo.
  • Control de instalación de RMM: si ManageEngine RMM Central no se utiliza en su organización, añada sus paquetes de instalación a la lista negra de aplicaciones. Si se utiliza, supervise instalaciones no autorizadas de nuevos agentes.
  • Monitorización de cambios en UAC: controle las modificaciones de las claves de registro relacionadas con la configuración de User Account Control, en particular EnableLUA y ConsentPromptBehaviorAdmin.
  • Verificación de adjuntos: cuando se reciban archivos inesperados a través de WhatsApp — incluso de contactos conocidos — contacte con el remitente a través de un canal alternativo para confirmarlo.

Se recomienda a las organizaciones que utilicen WhatsApp en sus comunicaciones laborales que comprueben de inmediato la presencia de agentes RMM no autorizados en las estaciones de trabajo y configuren reglas de detección para la creación de intérpretes de scripts a partir de procesos de mensajería. El indicador de compromiso — la dirección IP 202.61.160[.]201 — debe añadirse a las listas de bloqueo de las soluciones de seguridad de red para bloquear de forma preventiva la comunicación con la infraestructura de mando y control.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio