Campaña de distribución de malware sofisticado
Esta campaña fue descubierta por el Grupo de Investigación y Análisis Global (GReAT) de Kaspersky en junio de 2026. Las víctimas de esta campaña de ataque fueron registradas en muchos países y territorios, incluidos Malasia, Brasil, Singapur, Taiwán (China) y Vietnam, de los cuales Malasia registró el mayor número de víctimas.
El uso de nombres de archivos en muchos idiomas diferentes también muestra que la campaña se está implementando a gran escala, especialmente en países de la región europea.
Según los resultados de la investigación, los sujetos detrás de la campaña se aprovecharon de las cuentas de WhatsApp que habían sido pirateadas previamente para distribuir archivos adjuntos que contenían código malicioso.
Los malhechores han enviado mensajes desde contactos que se encuentran en las conexiones existentes de estas cuentas, lo que facilita que los destinatarios confíen y abran los archivos. Una vez que se activa el malware, los atacantes pueden acceder de forma remota al sistema a través de funciones de administración pre diseñadas para fines de apoyo y gestión de tecnología legítima.
Los malos han utilizado trucos de estafa utilizando ingeniería social (social engineering) con el método de disfrazar archivos maliciosos en forma de documentos de trabajo familiares como facturas de pago, extractos bancarios, extractos de cuentas, documentos de pago o avisos de deudas para crear una sensación de confiabilidad e engañar a las víctimas.
Los nombres de archivos también se han localizado a muchos idiomas como inglés, portugués, francés, alemán y malayo, lo que demuestra que la campaña se está implementando en muchas áreas lingüísticas diferentes. Además, los plantillas de archivos VBScript también contienen grandes cantidades de notas y metadatos para falsificar componentes legales de Microsoft Windows Update.
Fareed Radzi, investigador de seguridad de Kaspersky GReAT, dijo: "En esta campaña, los atacantes explotan el factor de confianza en las plataformas de mensajería utilizando cuentas de WhatsApp que han sido tomadas para enviar archivos adjuntos con código malicioso. Debido a que estos archivos se envían desde contactos familiares, los destinatarios tienden a abrirlos más fácilmente.
El nombre del archivo se disfraza cuidadosamente en forma de documentos de trabajo comunes como facturas o notificaciones de pago, y también se localiza en muchos idiomas para ampliar el alcance del objetivo. Cuando se abren, estos archivos activarán una cadena de infección multifase, descargando y ejecutando silenciosamente componentes maliciosos adicionales de la infraestructura controlada por el atacante".
Consejos
Para no infectarse con malware, los expertos en ciberseguridad han hecho recomendaciones para los usuarios:
- Ten cuidado al recibir archivos adjuntos extraños a través de WhatsApp, incluso si se envían desde contactos familiares, porque estos archivos pueden contener código malicioso y ejecutarse en el dispositivo.
- No abras archivos en forma de script o archivos ejecutables como .vbs, .vbe, .exe, .bat, .cmd, .js y .ps1 si no se ha verificado de forma independiente su validez.
- Utilizar soluciones de seguridad confiables en todos los ordenadores y dispositivos móviles. Estas soluciones tienen la capacidad de advertir y prevenir los riesgos de infección antes de que causen efectos.
