AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### WhatsApp bajo ataque: campañas de ingeniería social distribuyen malware mediante VBScript y despliegue de RMM legítimos

admin

#### 1. Introducción

En los últimos meses, WhatsApp se ha convertido en vector de distribución de malware sofisticado, según un reciente informe de Kaspersky. Investigadores han identificado una campaña global que aprovecha mensajes directos enviados a través de WhatsApp Desktop y WhatsApp Web para propagar archivos Visual Basic Script (VBScript) maliciosos. El objetivo final: instalar herramientas legítimas de Remote Monitoring and Management (RMM) en los sistemas comprometidos, abriendo la puerta a ataques de acceso remoto y robo de datos.

#### 2. Contexto del Incidente

La campaña, detectada en al menos nueve países, incluidos España, Reino Unido, Brasil, México, India, Malasia, Singapur, Taiwán y Australia, destaca por su uso de ingeniería social y la explotación de canales de comunicación de confianza como WhatsApp. Los atacantes, haciéndose pasar por contactos conocidos o empresas legítimas, envían mensajes directos con enlaces o archivos adjuntos que contienen scripts maliciosos.

A diferencia de campañas anteriores basadas en phishing tradicional, esta operación se focaliza en la distribución de malware mediante la versión de escritorio y web de WhatsApp, evitando así las restricciones de los marketplaces móviles y las protecciones nativas de los sistemas operativos móviles.

#### 3. Detalles Técnicos

El vector inicial del ataque consiste en el envío de archivos adjuntos con extensión `.vbs` (Visual Basic Script) o enlaces a repositorios de archivos que alojan estos scripts. Una vez ejecutado, el VBScript descarga e instala silenciosamente herramientas RMM legítimas como AnyDesk, TeamViewer o incluso versiones legítimas de Atera y Splashtop.

**CVE y vectores de ataque:** Aunque la campaña no explota vulnerabilidades específicas catalogadas (no se ha asociado aún un CVE concreto), sí emplea técnicas descritas en el framework MITRE ATT&CK, especialmente:

– **T1204 (User Execution):** El atacante persuade al usuario para que ejecute manualmente el archivo.
– **T1566 (Phishing):** Uso de mensajería directa para engañar al usuario.
– **T1072 (Software Deployment Tools):** Instalación de RMM legítimos para mantener acceso persistente.

**Indicadores de Compromiso (IoC):**
– Presencia inesperada de archivos `.vbs` en carpetas de descargas o temporales.
– Instalación no autorizada de software RMM.
– Conexiones salientes a IPs y dominios asociados a los servidores de control de los atacantes.
– Actividad inusual de procesos relacionados con RMM tras la ejecución del script.

**Herramientas y frameworks implicados:** Si bien la distribución inicial no implica el uso de frameworks como Metasploit o Cobalt Strike, los atacantes emplean PowerShell y scripts VBScript para automatizar la descarga e instalación de los agentes RMM. Posteriormente, estos agentes pueden ser empleados para desplegar payloads adicionales o ejecutar comandos remotos.

#### 4. Impacto y Riesgos

La instalación de software RMM legítimo supone un desafío significativo para los equipos de seguridad, dado que estos programas son comúnmente utilizados por departamentos de TI, lo que dificulta la detección de accesos maliciosos. Entre los riesgos más relevantes destacan:

– **Acceso remoto persistente:** Los atacantes pueden controlar el dispositivo comprometido sin levantar sospechas.
– **Robo de credenciales y datos sensibles:** Mediante el acceso RMM, es posible exfiltrar información confidencial, incluyendo credenciales de acceso, información bancaria o datos personales.
– **Movimientos laterales:** Uso de la máquina comprometida como puente para acceder a otros sistemas dentro de la red corporativa.
– **Impacto sobre la privacidad y cumplimiento:** Riesgo de vulneración de normativas como la GDPR y la directiva NIS2, dado el acceso no autorizado a información personal o crítica.

Según Kaspersky, la campaña ha afectado ya a cientos de usuarios, con una tasa de éxito estimada del 15% en la ejecución de los scripts maliciosos, lo que supone un potencial de miles de equipos comprometidos a nivel global.

#### 5. Medidas de Mitigación y Recomendaciones

– **Bloqueo de archivos ejecutables sospechosos:** Configurar políticas de seguridad para impedir la ejecución de scripts `.vbs` y restringir el uso de PowerShell a usuarios autenticados.
– **Monitorización de instalaciones de RMM:** Implementar alertas para detectar la instalación no autorizada de agentes RMM.
– **Awareness y formación de usuarios:** Capacitar al personal en la detección de mensajes sospechosos y en la correcta gestión de archivos adjuntos.
– **Restricción de canales de comunicación:** Limitar el uso de WhatsApp Desktop y Web en equipos corporativos o aplicar segmentación de red.
– **Revisión de logs y telemetría:** Analizar los registros de seguridad y los artefactos de red en busca de IoCs asociados.

#### 6. Opinión de Expertos

Juan Carlos Fernández, analista de amenazas en Kaspersky, destaca: “El uso de RMM legítimos es una tendencia creciente entre los actores de amenazas, ya que permite evadir controles tradicionales y aprovechar herramientas que ya existen en el entorno corporativo. La frontera entre administración legítima y control malicioso se difumina peligrosamente”.

Por su parte, Marta Sánchez, CISO en una empresa del IBEX 35, advierte: “La ingeniería social sigue siendo el eslabón más débil. La clave está en una combinación de formación, detección temprana y políticas restrictivas sobre el uso de canales de mensajería en el entorno corporativo”.

#### 7. Implicaciones para Empresas y Usuarios

La campaña pone de manifiesto la necesidad de revisar las políticas de seguridad sobre herramientas de mensajería y la gestión de software RMM. Para las empresas, el incidente puede suponer incumplimientos de GDPR y NIS2, además de riesgos operacionales y económicos. Para los usuarios individuales, el riesgo principal radica en el robo de datos personales y la posibilidad de que sus dispositivos sean utilizados como bots en campañas de mayor escala.

#### 8. Conclusiones

El empleo de WhatsApp como vector de distribución de malware mediante VBScript y la instalación encubierta de RMM legítimos representa una amenaza sofisticada que combina ingeniería social, abuso de confianza y elusión de controles tradicionales. Las organizaciones deben reforzar sus mecanismos de detección, restringir el uso de herramientas potencialmente peligrosas y fomentar una cultura de ciberseguridad proactiva entre sus empleados.

(Fuente: feeds.feedburner.com)