Una campaña de phishing en WhatsApp busca infectar dispositivos mediante archivos VBScript que aparentan ser documentos comerciales o financieros. Estos archivos, al ejecutarse, instalan una plataforma de administración de endpoints que ofrece acceso remoto a los atacantes. La campaña utiliza nombres de archivos localizados en varios idiomas para ampliar su alcance global.

Resumen profesional de la situación:
– Los archivos maliciosos se envían a través de cuentas de WhatsApp comprometidas y se comparten con los contactos de la víctima, intentando que estos ejecuten el VBScript.
– Al ejecutarse en Windows, el malware despliega dos scripts: primero deshabilita las protecciones UAC y luego instala la plataforma de gestión de endpoints (UEM) de ManageEngine Endpoint Central.
– El objetivo aparente no es gestionar dispositivos legítimos, sino conceder acceso remoto a los atacantes.
– Las víctimas se han detectado en Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia, Vietnam y Malasia.
– La técnica exacta para comprometer las cuentas de WhatsApp aún no ha sido determinada por los investigadores.

Detalles técnicos relevantes:
– El archivo VBScript se presenta como un documento corporativo, lo que facilita su apertura por parte de usuarios que confían en remitentes conocidos, especialmente cuando el mensaje llega dentro de un contexto profesional.
– Una vez descargado y ejecutado desde WhatsApp Web, el usuario debe aceptar la descarga del archivo; desde el cliente de escritorio, el archivo puede ejecutarse directamente a través de Windows Script Host.
– La campaña aprovecha la percepción de legitimidad de herramientas empresariales como ManageEngine Endpoint Central para convencer a la víctima de que el software es una solución de seguridad o administración, cuando en realidad instala un acceso remoto para el atacante.

¿Por qué es preocupante?
– La propagación se apoya en relaciones de confianza, al enviar archivos a contactos verificados, lo que incrementa la tasa de apertura y ejecución.
– La globalización de los nombres de archivos en distintos idiomas facilita su adopción en múltiples mercados y añade una capa de engaño para reducir la detección por patrones regionales.
– El compromiso de cuentas de WhatsApp representa un vector de ataque práctico y difícil de mitigar si no se detecta a tiempo.

Recomendaciones para organizaciones y usuarios:
– Verificar la procedencia de cualquier archivo recibido por WhatsApp, especialmente si se solicita instalar software o ejecutar scripts, aun cuando provenga de contactos conocidos.
– Desarrollar y mantener políticas claras sobre la instalación de software de terceros y la ejecución de archivos VBScript o scripts de Windows.
– Implementar controles de seguridad que detecten y bloqueen scripts ejecutables de fuentes no confiables y deshabiliten de forma selectiva Windows Script Host cuando no sean necesarios.
– Educar a usuarios y equipos sobre phishing en mensajería instantánea y la importancia de confirmar la legitimidad de los archivos adjuntos mediante canales secundarios.
– Mantener actualizados los sistemas y soluciones de seguridad, y monitorizar eventos de UAC deshabilitados y despliegue no autorizado de herramientas de administración de endpoints.

Para más detalles, consulta el informe de Kaspersky y la cobertura de BleepingComputer citada en el artículo original.

from Latest from TechRadar https://ift.tt/zT4D9pw
via IFTTT IA