Clicky

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Un malware VBS distribuido a través de WhatsApp secuestra Windows

Categoría: Seguridad
Read Time: 2 mins
Visitas: 312
malware VBS distribuido a través de WhatsApp

Actualmente se desconoce qué señuelos utilizan los ciberdelincuentes para engañar a los usuarios

Microsoft está alertando sobre una nueva campaña que ha utilizado mensajes de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBS).

Esta actividad, que comenzó a finales de febrero de 2026, utiliza estos scripts para iniciar una cadena de infección en varias etapas con el fin de lograr persistencia y permitir el acceso remoto. Actualmente se desconoce qué señuelos utilizan los ciberdelincuentes para engañar a los usuarios y lograr que ejecuten los scripts.

"La campaña se basa en una combinación de ingeniería social y técnicas de aprovechamiento de recursos locales", afirmó el equipo de investigación de seguridad de Microsoft Defender. "Utiliza utilidades de Windows renombradas para mimetizarse con la actividad normal del sistema, obtiene cargas útiles de servicios en la nube de confianza como AWS, Tencent Cloud y Backblaze B2, e instala paquetes maliciosos de Microsoft Installer (MSI) para mantener el control del sistema".

El uso de herramientas legítimas y plataformas de confianza es una combinación letal, ya que permite a los ciberdelincuentes mimetizarse con la actividad normal de la red y aumentar la probabilidad de éxito de sus ataques.

La actividad comienza con los atacantes distribuyendo archivos VBS maliciosos a través de mensajes de WhatsApp que, al ejecutarse, crean carpetas ocultas en "C:\ProgramData" y descargan versiones renombradas de utilidades legítimas de Windows como "curl.exe" (renombrada como "netapi.dll") y "bitsadmin.exe" (renombrada como "sc.exe").

malware en Windows

Tras obtener acceso inicial, los atacantes buscan establecer persistencia y escalar privilegios, para finalmente instalar paquetes MSI maliciosos en los sistemas de las víctimas. Esto se logra descargando archivos VBS auxiliares alojados en AWS S3, Tencent Cloud y Backblaze B2 mediante binarios renombrados.

"Una vez que están instaladas las cargas útiles secundarias, el malware comienza a manipular la configuración del Control de cuentas de usuario (UAC) para debilitar las defensas del sistema", explicó Redmond. "Intenta continuamente ejecutar cmd.exe con privilegios elevados, reintentándolo hasta que la elevación de privilegios de UAC se realiza correctamente o el proceso se finaliza forzosamente, modificando las entradas del registro en HKLM\Software\Microsoft\Win e incorporando mecanismos de persistencia para garantizar que la infección sobreviva a los reinicios del sistema".

Estas acciones permiten a los ciberdelincuentes obtener privilegios elevados sin interacción del usuario mediante una combinación de manipulación del Registro y técnicas para eludir el Control de cuentas de usuario (UAC), y finalmente desplegar instaladores MSI sin firmar. Esto incluye herramientas legítimas como AnyDesk, que proporcionan a los atacantes acceso remoto persistente, lo que les permite extraer datos o desplegar más malware.

"Esta campaña demuestra una sofisticada cadena de infección que combina ingeniería social (distribución a través de WhatsApp), técnicas de sigilo (herramientas legítimas renombradas, atributos ocultos) y alojamiento de carga útil en la nube", dijo Microsoft.

#Windows
#WhatsApp
#Malware
#Secuestrar

Jesus_Caceres

Related Articles

SkyDrive Explorer, 25 gigas de espacio gratis en la nube

Categoría: Internet (Tutoriales y trucos)
Read Time: 5 mins
Visitas: 11087

Instalar Windows 7 español (en imágenes)

Categoría: Internet (Tutoriales y trucos)
Read Time: 19 mins
Visitas: 6964

Prepara tu PC para instalar Windows 7

Categoría: Internet (Tutoriales y trucos)
Read Time: 9 mins
Visitas: 28755

Main Menu