### WhatsApp como vector de malware **Microsoft** está llamando la atención sobre una nueva campaña que ha utilizado mensajes de **WhatsApp** para distribuir archivos maliciosos de Visual Basic Script (VBS). La actividad, que comenzó a finales de febrero de 2026, utiliza estos scripts para iniciar una cadena de infección de múltiples etapas para establecer persistencia y habilitar el acceso remoto. Los señuelos específicos utilizados para engañar a los usuarios para que ejecuten los scripts siguen siendo desconocidos. ### Tácticas "Living-off-the-Land" "La campaña se basa en una combinación de ingeniería social y técnicas de "living-off-the-land" (aprovecharse de los recursos del sistema objetivo)", dijo el equipo de investigación de seguridad de **Microsoft Defender**. "Utiliza utilidades de Windows renombradas para mezclarse con la actividad normal del sistema, recupera payloads de servicios en la nube confiables como **AWS**, **Tencent Cloud** y **Backblaze B2**, e instala paquetes maliciosos de **Microsoft** Installer (MSI) para mantener el control del sistema." El uso de herramientas legítimas y plataformas confiables permite a los actores de amenazas mezclarse con la actividad normal de la red y aumentar la probabilidad de éxito. ### Cadena de infección La actividad comienza con los atacantes distribuyendo archivos VBS maliciosos a través de mensajes de **WhatsApp**. Cuando se ejecutan, estos archivos crean carpetas ocultas en `C:\ProgramData` y dejan caer versiones renombradas de utilidades legítimas de Windows como `curl.exe` (renombrado como `netapi.dll`) y `bitsadmin.exe` (renombrado como `sc.exe`).  ### Persistencia y escalada de privilegios Una vez que obtienen un punto de apoyo inicial, los atacantes buscan establecer persistencia y escalar privilegios, instalando finalmente paquetes MSI maliciosos en los sistemas de las víctimas. Esto se logra descargando archivos VBS auxiliares alojados en **AWS S3**, **Tencent Cloud** y **Backblaze B2** utilizando los binarios renombrados. ### Bypass de UAC y despliegue de MSI "Una vez que los payloads secundarios están en su lugar, el malware comienza a manipular la configuración del Control de Cuentas de Usuario (UAC) para debilitar las defensas del sistema", dijo **Microsoft**. "Intenta continuamente lanzar `cmd.exe` con privilegios elevados, reintentando hasta que la elevación de UAC tenga éxito o el proceso sea terminado forzosamente, modificando entradas del registro bajo `HKLM\Software\Microsoft\Win`, e incrustando mecanismos de persistencia para asegurar que la infección sobreviva a los reinicios del sistema." Estas acciones permiten a los actores de amenazas obtener privilegios elevados sin interacción del usuario a través de una combinación de manipulación del registro con técnicas de bypass de UAC, y finalmente desplegar instaladores MSI sin firmar. Esto incluye herramientas legítimas como **AnyDesk** que proporcionan a los atacantes acceso remoto persistente, permitiéndoles exfiltrar datos o desplegar más malware. ### Técnicas sofisticadas "Esta campaña demuestra una sofisticada cadena de infección que combina ingeniería social (entrega por **WhatsApp**), técnicas de sigilo (herramientas legítimas renombradas, atributos ocultos) y alojamiento de payloads basado en la nube", dijo **Microsoft**.