Malware en WhatsApp: detectan peligrosa campaña de phishing con scripts VBS

La evolución de las ciberamenazas en 2026 ha alcanzado un nivel de sofisticación que desafía incluso a las arquitecturas de seguridad más robustas. En las últimas 48 horas, una agresiva campaña de malware en WhatsApp ha puesto en jaque a miles de usuarios corporativos y particulares, utilizando una mezcla letal de ingeniería social avanzada y técnicas de “Living-off-the-Land” (LotL). Lo que comenzó como un simple mensaje en una plataforma de mensajería se ha transformado en una operación de infiltración multistapa que aprovecha la confianza en infraestructuras de nube legítimas para evadir la detección perimetral.

El resurgimiento del malware en WhatsApp: Anatomía de una infección

A diferencia de las campañas masivas y ruidosas de años anteriores, esta nueva oleada detectada el 21 de abril de 2026 se caracteriza por su precisión quirúrgica. El vector de ataque inicial es un mensaje de WhatsApp diseñado para explotar la urgencia o la curiosidad del usuario, a menudo disfrazado de una actualización de software crítica, un comprobante fiscal o una comunicación oficial de recursos humanos. El objetivo es engañar al receptor para que descargue y ejecute un archivo de Visual Basic Script (VBS).

La peligrosidad del malware en WhatsApp reside en la integración del cliente de escritorio con el sistema operativo Windows. Al ser ejecutado, el script VBS inicia una cadena de eventos diseñada para pasar desapercibida ante los sistemas de protección de endpoints (EDR) tradicionales. El script no contiene la carga útil maliciosa final en sí mismo, sino que actúa como un “loader” o cargador que prepara el terreno para la intrusión profunda.

El engaño inicial: Ingeniería social de precisión

Los atacantes han perfeccionado el arte de la suplantación. Los informes de inteligencia de amenazas sugieren que muchos de estos mensajes provienen de cuentas de WhatsApp comprometidas previamente, lo que añade una capa de “confianza de contacto” que anula las sospechas iniciales. El mensaje suele incluir instrucciones detalladas para descargar un archivo que parece inofensivo, pero que en realidad es la puerta de entrada a un control remoto total del sistema.

La técnica LotL: Viviendo de los recursos del sistema

Una de las características más alarmantes de esta campaña es el uso extensivo de técnicas Living-off-the-Land (LotL). Esta estrategia consiste en utilizar herramientas legítimas del sistema operativo para realizar acciones maliciosas, lo que dificulta enormemente la distinción entre la actividad administrativa normal y un ataque en curso. Una vez que el script VBS se ejecuta mediante wscript.exe o cscript.exe, realiza las siguientes acciones:

• Creación de directorios ocultos: El malware genera rutas de acceso discretas, comúnmente en C:\ProgramData\ (por ejemplo, carpetas con nombres aleatorios como EDS8738), para alojar sus componentes.
• Renombrado de utilidades legítimas: Para evadir la detección basada en firmas de procesos, el script despliega copias de herramientas de Windows conocidas pero con nombres falsos. Se ha observado el uso de curl.exe renombrado como netapi.dll y bitsadmin.exe como sc.exe.
• Uso de metadatos originales: Aunque el nombre del archivo cambia, los metadatos de los ejecutables (Portable Executable) siguen indicando que son herramientas firmadas por Microsoft, lo que permite que muchos cortafuegos y antivirus los ignoren.

Este enfoque permite que el atacante utilice comandos del sistema para descargar fases adicionales del malware sin necesidad de introducir binarios sospechosos desde el primer momento. Al emplear herramientas como curl o BITSAdmin, el tráfico de red generado parece ser una descarga legítima del sistema.

Infraestructura en la nube: El abuso de la confianza corporativa

El éxito de esta campaña de malware en WhatsApp se apoya en una infraestructura de comando y control (C2) alojada en proveedores de servicios en la nube de alta reputación. Los analistas han identificado que los payloads secundarios se descargan desde dominios pertenecientes a:

1. Amazon Web Services (AWS S3): Utilizado para alojar scripts VBS adicionales con nombres de archivo que simulan actualizaciones de seguridad (ej. WinUpdate_KB5034231.vbs).
2. Tencent Cloud: Empleado como repositorio redundante para asegurar la disponibilidad del malware en diferentes regiones geográficas.
3. Backblaze B2: Un servicio de almacenamiento de bajo costo que a menudo no es inspeccionado de forma granular por las reglas de filtrado de contenido corporativo.

Debido a que estas plataformas son esenciales para la operación diaria de la mayoría de las empresas, los administradores de red raramente bloquean el tráfico hacia ellas. El malware en WhatsApp aprovecha este “punto ciego” para descargar paquetes Microsoft Installer (MSI) que contienen la carga final de acceso remoto.

Persistencia mediante paquetes MSI y manipulación del UAC

El objetivo final de los atacantes es establecer una presencia persistente que sobreviva a reinicios del sistema y actualizaciones. Para lograrlo, el flujo de infección culmina con la instalación de un paquete MSI malicioso. Estos instaladores, a menudo disfrazados de software legítimo como AnyDesk, LinkPoint o Setup.msi, realizan cambios críticos en la configuración de seguridad de Windows.

La manipulación del User Account Control (UAC) es un paso vital en esta etapa. El malware realiza intentos repetidos de ejecución con privilegios elevados, modificando entradas del registro en HKLM\Software\Microsoft\Windows para debilitar las defensas del sistema. Una vez instalado el MSI, el atacante obtiene una consola de acceso remoto completa, lo que le permite exfiltrar datos confidenciales, desplegar ransomware o utilizar la máquina infectada como puente para ataques de movimiento lateral dentro de la red organizacional.

Indicadores de Compromiso (IoCs) detectados

Las organizaciones deben monitorizar sus redes en busca de los siguientes patrones anómalos vinculados a esta campaña:

• Ejecución de archivos .vbs desde rutas de usuario no confiables o carpetas en C:\ProgramData.
• Procesos de wscript.exe o cscript.exe estableciendo conexiones salientes hacia AWS S3 o Backblaze.
• Discrepancias entre el nombre del archivo y el nombre original de la carga útil (OriginalFileName) en las herramientas del sistema.
• Modificaciones inesperadas en los niveles de notificación del UAC o claves de registro de persistencia.

Estrategias de defensa y mitigación técnica

Para contrarrestar la amenaza del malware en WhatsApp, no basta con confiar en la concienciación del usuario. Es imperativo implementar controles técnicos estrictos que limiten el radio de acción de estos scripts maliciosos. El “Ninja Editor” recomienda las siguientes medidas de endurecimiento:

1. Restricción de Script Hosts

La medida de protección más efectiva es restringir o bloquear por completo la ejecución de wscript.exe, cscript.exe y mshta.exe en rutas donde los usuarios tengan permisos de escritura. Esto se puede lograr mediante políticas de grupo (GPO) o utilizando AppLocker. Si el sistema no puede invocar el intérprete de scripts, la cadena de infección se rompe antes de que pueda causar daño.

2. Modificación de asociaciones de archivos

Una técnica sencilla pero poderosa consiste en cambiar la asociación predeterminada de archivos .vbs, .js y .wsf para que se abran en el Bloc de notas (Notepad.exe) en lugar de ejecutarse automáticamente. Esto garantiza que, si un usuario hace doble clic accidentalmente en un archivo malicioso, solo verá el código fuente en lugar de iniciar la ejecución del malware.

3. Monitoreo de tráfico a la nube y visibilidad de red

Es vital que los equipos de seguridad implementen una inspección de tráfico TLS/SSL, incluso para dominios confiables. Se deben configurar alertas para cualquier descarga de archivos ejecutables (EXE, MSI, DLL) provenientes de buckets públicos de AWS o Backblaze que no estén en una lista blanca de proveedores conocidos. La monitorización de metadatos de red puede ayudar a identificar el uso de curl o bitsadmin para actividades no administrativas.

4. Endurecimiento del Endpoint con ASR

Las reglas de Attack Surface Reduction (ASR) de Microsoft Defender son fundamentales para detener esta campaña. Específicamente, se deben activar las reglas que bloquean la creación de procesos secundarios por parte de aplicaciones de mensajería y aquellas que impiden que los scripts de Office o VBS lancen contenido ejecutable descargado de internet.

Conclusión: Una vigilancia constante en la era de la mensajería

La campaña de malware en WhatsApp de abril de 2026 nos recuerda que la frontera entre el uso personal y profesional de las herramientas tecnológicas es el terreno de caza favorito de los ciberdelincuentes. La combinación de la familiaridad de WhatsApp con la potencia de las herramientas nativas de Windows crea un riesgo existencial para las empresas que no han modernizado sus políticas de ejecución de scripts.

La seguridad debe dejar de ser reactiva. Ante atacantes que “viven de la tierra” y se esconden en la nube, los defensores deben adoptar una postura de Zero Trust no solo para las identidades, sino también para los procesos del sistema. La detección de esta amenaza hoy es una oportunidad para fortalecer las defensas de mañana, asegurando que una simple notificación de WhatsApp no se convierta en el prólogo de una brecha de datos masiva.