Una nueva campaña detectada a finales de febrero de 2026 está utilizando WhatsApp como puerta de entrada para distribuir malware altamente sofisticado a través de un mensaje. Según el equipo de investigación de seguridad de Microsoft, los atacantes están enviando archivos aparentemente inofensivos que, en realidad, contienen scripts maliciosos diseñados para comprometer equipos Windows en múltiples fases.

El vector inicial no es nuevo —la mensajería instantánea como canal de distribución—, pero la ejecución técnica de esta campaña sí representa un salto cualitativo. El uso combinado de técnicas de evasión, servicios cloud legítimos y herramientas nativas del sistema operativo permite a los atacantes operar con un nivel de sigilo notablemente superior al habitual.

Primera fase: scripts VBS y herramientas legítimas como camuflaje

El ataque comienza con la recepción de un archivo Visual Basic Script (VBS) a través de WhatsApp. La clave del éxito reside en la confianza del usuario: el mensaje suele parecer legítimo o provenir de un contacto conocido, lo que incrementa la probabilidad de ejecución.

Ad

Una vez abierto el archivo, el script crea directorios ocultos en el sistema y despliega versiones modificadas de herramientas legítimas de Windows. Por ejemplo, utilidades como curl.exe o bitsadmin.exe son renombradas para camuflar su actividad bajo identidades aparentemente inofensivas.

Este enfoque, conocido como living-off-the-land, permite a los atacantes aprovechar software legítimo para realizar acciones maliciosas, dificultando su detección por soluciones de seguridad tradicionales.

Segunda fase: la nube como infraestructura maliciosa

Tras establecer el primer punto de acceso, el malware inicia la descarga de cargas adicionales desde servicios cloud ampliamente utilizados como AWS, Tencent Cloud o Backblaze B2. Este detalle es especialmente relevante: el tráfico hacia estas plataformas suele considerarse legítimo en entornos corporativos, lo que permite a los atacantes ocultar sus comunicaciones.

Los scripts descargados en esta fase —como auxs.vbs o archivos con apariencia de actualizaciones del sistema— continúan la cadena de infección y preparan el entorno para fases más avanzadas del ataque.

Esta estrategia confirma una tendencia creciente en el cibercrimen: el uso de infraestructuras legítimas para alojar malware, reduciendo la visibilidad y complicando la respuesta de los equipos de seguridad.

Escalada de privilegios y persistencia en el sistema

Una vez dentro del sistema, el malware busca consolidar su presencia. Para ello, intenta desactivar o debilitar mecanismos de seguridad como el Control de Cuentas de Usuario (UAC), modificando claves del registro de Windows.

El objetivo es claro: obtener privilegios administrativos sin levantar sospechas. El malware ejecuta repetidamente comandos hasta lograr la elevación de permisos, lo que le permite operar con control total sobre el sistema.

Además, introduce mecanismos de persistencia que garantizan su ejecución tras reinicios, asegurando una presencia prolongada en el dispositivo comprometido.

Instaladores MSI y acceso remoto: el control total del dispositivo

En la fase final, los atacantes despliegan instaladores MSI maliciosos, entre ellos versiones falsificadas de software conocido. Estos paquetes no cuentan con firma digital válida, un indicador clave de compromiso.

Entre los programas utilizados se encuentran herramientas de acceso remoto como AnyDesk, que permiten a los atacantes controlar el sistema de forma remota, exfiltrar datos o desplegar nuevas amenazas.

El uso de instaladores MSI no es casual: este formato es habitual en entornos empresariales, lo que reduce la sospecha y facilita la ejecución dentro de procesos aparentemente legítimos.

Una amenaza diseñada para pasar desapercibida

La sofisticación de esta campaña radica en su capacidad para mimetizarse con la actividad normal del sistema. El uso de herramientas legítimas renombradas, tráfico hacia servicios cloud confiables y software ampliamente utilizado dificulta la identificación de comportamientos anómalos.

Incluso los metadatos de los archivos juegan un papel clave: aunque los ejecutables son renombrados, conservan información interna que puede delatar su origen. Sin embargo, no todos los sistemas de seguridad inspeccionan estos detalles, lo que abre una ventana de oportunidad para los atacantes.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre