I ricercatori di Microsoft hanno individuato l’ennesima campagna malware che prende di mira WhatsApp. Stavolta però viene sfruttata una funzionalità della versione Windows, non una vulnerabilità dei client Android o iOS. Lo scopo dei cybercriminali è ottenere la persistenza, ovvero l’accesso remoto al dispositivo tramite backdoor.
Descrizione dell’attacco e misure protettive
L’attacco è basato principalmente sull’ingegneria sociale. I cybercriminali convincono le ignare vittime ad eseguire allegati VBS (Visual Basic Script) ai messaggi WhatsApp. Vengono così create directory nascoste in C:\ProgramData e copiate versioni legittime di utility Windows, ma con nomi differenti.
Gli script scaricano successivamente altri due file VBS. Sono ospitati su note piattaforme cloud, come AWS, Tencent Cloud o Backblaze, quindi il traffico web sembra legittimo. Per non destare sospetti tramite la visualizzazione di possibili avvisi vengono ottenuti i privilegi di amministratore e modificate le richieste di conferma del controllo account utente. Sono anche aggiunte chiavi nel registro di sistema per garantire la persistenza (esecuzione dopo ogni riavvio).
L’ultima fase dell’infezione prevede il download di vari installer MSI apparentemente innocui. Si tratta invece di backdoor che permettono ai cybercriminali di accedere al computer da remoto. A questo punto è possibile eseguire qualsiasi azione, tra cui il furto di dati sensibili, l’installazione di altri malware e infettare anche i computer collegati alle stessa rete locale.
Microsoft consiglia di bloccare l’esecuzione degli script, monitorare il traffico proveniente dalle piattaforme cloud e individuare ripetuti tentativi di modificare le impostazioni del controllo account utente. Gli utenti non devono ovviamente eseguire gli allegati ricevuti tramite WhatsApp. Microsoft Edge e altri browser che supportano Defender SmartScreen bloccano i siti infetti, mentre la protezione cloud di Defender Antivirus può rilevare minacce sconosciute in anticipo.
Ti potrebbe interessare
3 apr 2026