Microsoft pasión la atención sobre una nueva campaña que ha utilizado los mensajes de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBS).
La actividad, que comenzó a finales de febrero de 2026, aprovecha estos scripts para iniciar una condena de infección de varias etapas para establecer persistencia y permitir el camino remoto. Actualmente no se sabe qué señuelos utilizan los actores de amenazas para engañar a los usuarios para que ejecuten los scripts.
“La campaña se basamento en una combinación de ingeniería social y técnicas de vida de la tierra”, dijo el equipo de investigación de seguridad de Microsoft Defender. “Utiliza utilidades de Windows renombradas para integrarse en la actividad natural del sistema, recupera cargas aperos de servicios de cirro confiables como AWS, Tencent Cloud y Backblaze B2, e instala paquetes maliciosos de Microsoft Installer (MSI) para proseguir el control del sistema”.
El uso de herramientas legítimas y plataformas confiables es una combinación mortal, ya que permite a los actores de amenazas integrarse en la actividad natural de la red y aumentar la probabilidad de éxito de sus ataques.
La actividad comienza cuando los atacantes distribuyen archivos VBS maliciosos a través de mensajes de WhatsApp que, cuando se ejecutan, crean carpetas ocultas en “C:ProgramData” y eliminan versiones renombradas de utilidades legítimas de Windows como “curl.exe” (rebautizada como “netapi.dll”) y “bitsadmin.exe” (rebautizada como “sc.exe”).
Al ganar un punto de apoyo original, los atacantes pretenden establecer persistencia y prosperar privilegios, y en última instancia instalan paquetes MSI maliciosos en los sistemas de las víctimas. Esto se logra descargando archivos VBS auxiliares alojados en AWS S3, Tencent Cloud y Backblaze B2 utilizando los archivos binarios renombrados.
“Una vez que las cargas aperos secundarias están en su circunstancia, el malware comienza a alterar la configuración del Control de cuentas de heredero (UAC) para debilitar las defensas del sistema”, dijo Redmond. “Intenta continuamente iniciar cmd.exe con privilegios elevados, reintentando hasta que la elevación de UAC se logra o el proceso finaliza por la fuerza, modificando las entradas del registro en HKLMSoftwareMicrosoftWin e incorporando mecanismos de persistencia para respaldar que la infección sobreviva a los reinicios del sistema”.
Estas acciones permiten a los actores de amenazas obtener privilegios elevados sin la interacción del heredero mediante una combinación de manipulación del Registro con técnicas de omisión de UAC y, en última instancia, implementar instaladores MSI no firmados. Esto incluye herramientas legítimas como AnyDesk que brindan a los atacantes camino remoto persistente, lo que les permite extraer datos o implementar más malware.
“Esta campaña demuestra una condena de infección sofisticada que combina ingeniería social (entrega de WhatsApp), técnicas sigilosas (herramientas legítimas renombradas, atributos ocultos) y alojamiento de carga útil basado en la cirro”, dijo Microsoft.
