Los piratas informáticos utilizan los ataques de phishing para robar contraseñas, datos personales o hacer que la víctima instale un malware. Pueden distribuirlos a través de correos electrónicos, SMS o WhatsApp, como es el caso del que vamos a hablar. Se trata de una campaña maliciosa en la que utilizan documentos comerciales falsos para infectar un equipo.
Ataque de phishing en WhatsApp
Con estos mensajes de phishing los atacantes están enviando archivos VBScript, lo que podría permitir que un atacante obtuviera acceso remoto al sistema. Están utilizando archivos que tienen nombres de documentos comerciales y financieros. Para ello utilizan cuentas comprometidas. La campaña ha sido detectada por parte de Kaspersky, como puedes ver en su publicación con fecha de 22 de junio.
Si la víctima descarga y ejecuta esos archivos, el destinatario va a iniciar una cadena que deriva en la instalación del ManageEngine Endpoint Central legítimo. Esto lo utilizan los administradores de TI para administrar sistemas desde un panel centralizado.
Hay varios puntos que hacen que esta campaña maliciosa sea especialmente peligrosa y pueda tener éxito:
- Los mensajes llegan desde un contacto conocido.
- Envían un archivo que parece legítimo.
- Se instala software legítimo para controlar el equipo.
Por tanto, estamos ante un problema que se aprovecha de la confianza interpersonal. Es más probable que abras un archivo que te ha enviado un familiar o un amigo, que si ese mismo documento llega de un número desconocido. Además, el malware ya no parece tan malware. Ya no es tan fácil de detectar.
El software se instala y ejecuta en segundo plano, por lo que no vas a ser consciente del problema inicialmente. Sin embargo, está conectado a servidores de administración controlados por el atacante y le otorga así acceso remoto.
Este problema afecta a varios países, como informan desde Kaspersky, entre los que se encuentra España. También otros muy variados como Reino Unido, Malasia, Australia, Taiwán, Brasil o México.
| Fase | Acción del atacante | Evidencia / Indicador |
|---|---|---|
| 1. Recepción | Mensaje de WhatsApp desde contacto comprometido con archivo .vbs disfrazado de documento comercial | Archivo con doble extensión (.pdf.vbs) o nombre engañoso |
| 2. Ejecución | El usuario abre el archivo y se ejecuta VBScript ofuscado | Proceso wscript.exe o cscript.exe con línea de comandos inusual |
| 3. Descarga | El script descarga silenciosamente el instalador MSI de ManageEngine Endpoint Central | Conexión HTTPS saliente a servidor de ManageEngine |
| 4. Instalación | Se instala el agente legítimo con parámetros de servidor del atacante | Nuevo servicio ‘ManageEngine Endpoint Central Agent’ o similar |
| 5. Control remoto | El atacante obtiene acceso remoto completo y persistente | Comunicaciones periódicas en puertos 8383/8027 a IP maliciosa |
Cómo protegerte
Nunca debes abrir archivos sospechosos por WhatsApp y que tengan extensiones raras. Algunas de las más usadas son estas:
