Alerta de malware en WhatsApp: Campaña de scripts maliciosos

. La IP 202.61.160.201 ya había sido identificada en el pasado por actuar como infraestructura de control para campañas de ciberespionaje vinculadas a familias de malware conocidas como ValleyRAT y Gh0st RAT, lo que asocia este ataque, con un nivel de confianza bajo-moderado, a operadores de habla china.

Estrategias de mitigación y defensa avanzada

Para frenar esta oleada de infecciones, las organizaciones de TI deben implementar controles de seguridad estrictos basados en una arquitectura de defensa en profundidad:

1. Inhabilitar la ejecución de scripts: Se aconseja restringir o deshabilitar la ejecución por defecto de archivos con extensiones .vbs, .vbe, .js o .bat. Esto se puede lograr bloqueando los entornos wscript.exe y cscript.exe mediante políticas de restricción de software o AppLocker.
2. Auditoría de herramientas RMM: Los equipos de ciberdefensa deben monitorizar constantemente los endpoints para identificar instalaciones no autorizadas de agentes RMM (como ManageEngine, AnyDesk o Splashtop) y bloquear la comunicación de red saliente hacia IPs no corporativas en los puertos comunes de estas plataformas.
3. Supervisar cambios en el registro: Configurar reglas de monitoreo en el EDR para alertar sobre