Security

Campaña de malware en WhatsApp con VBS y MSI

3 min de lectura

Resumen

Los expertos de Microsoft Defender descubrieron una campaña de finales de febrero de 2026 que usa mensajes de WhatsApp para entregar archivos VBS maliciosos y luego instala paquetes MSI sin firmar para persistencia y acceso remoto. El ataque combina ingeniería social, utilidades de Windows renombradas y servicios cloud de confianza para evadir la detección, lo que hace que los controles de endpoint y la concienciación de los usuarios sean fundamentales.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft ha publicado detalles sobre una sofisticada campaña de malware que comienza con archivos VBS enviados por WhatsApp y termina con acceso remoto persistente mediante instaladores MSI maliciosos. Para los equipos de TI y seguridad, esto es relevante porque los atacantes abusan de herramientas legítimas de Windows y plataformas cloud de confianza, lo que dificulta distinguir esta actividad del tráfico empresarial normal.

Qué hay de nuevo en esta campaña

Microsoft Defender Experts observó la campaña a partir de finales de febrero de 2026. La cadena de ataque incluye múltiples etapas diseñadas para evadir la detección y mantener acceso a largo plazo:

  • Acceso inicial a través de WhatsApp: Los atacantes envían archivos .vbs maliciosos mediante mensajes de WhatsApp, aprovechando la confianza de los usuarios en aplicaciones de comunicación conocidas.
  • Uso de herramientas de Windows renombradas: Los scripts copian utilidades legítimas como curl.exe y bitsadmin.exe, y luego las renombran con nombres engañosos como netapi.dll y sc.exe.
  • Entrega de cargas útiles desde servicios cloud de confianza: Las cargas secundarias se descargan desde servicios como AWS S3, Tencent Cloud y Backblaze B2.
  • Escalada de privilegios y persistencia: El malware manipula configuraciones del registro relacionadas con UAC e intenta repetidamente ejecutar comandos elevados.
  • Backdoors MSI en la etapa final: Archivos MSI sin firmar como Setup.msi, WinRAR.msi, LinkPoint.msi y AnyDesk.msi se utilizan para establecer acceso remoto.

Por qué esto es importante

Esta campaña combina varias tendencias que los defensores están viendo cada vez con más frecuencia:

  • Técnicas living-off-the-land que usan binarios nativos de Windows
  • Entrega de malware alojado en cloud que se mezcla con tráfico legítimo
  • Ingeniería social a través de plataformas de mensajería de consumo
  • Persistencia mediante instaladores MSI que pueden parecer rutinarios en entornos administrados

Una oportunidad de detección destacable es la discrepancia entre el nombre real de un archivo y sus metadatos PE OriginalFileName integrados. Las herramientas de seguridad que inspeccionan estos metadatos pueden identificar binarios renombrados con mayor eficacia.

Impacto en los administradores de TI

Los equipos de seguridad y endpoint deben asumir que bloquear solo por tipo de archivo no es suficiente. La campaña puede eludir inspecciones superficiales mediante el uso de carpetas ocultas, fuentes de descarga de confianza y herramientas administrativas legítimas.

Las organizaciones que usan Microsoft Defender deben prestar especial atención a:

  • Actividad de hosts de scripts desde rutas no confiables (wscript, cscript, mshta)
  • Cambios en el registro vinculados al comportamiento de UAC
  • Ejecución de MSI sin firmar
  • Conexiones de red a almacenamiento de objetos cloud utilizado para preparar cargas útiles
  • Detecciones de endpoint relacionadas con binarios renombrados y flags sospechosos en la línea de comandos

Próximos pasos recomendados

  • Restringir la ejecución de scripts en ubicaciones no confiables cuando sea posible.
  • Habilitar la protección proporcionada desde la cloud en Microsoft Defender Antivirus.
  • Ejecutar Defender for Endpoint EDR en modo de bloqueo para detener artefactos que otros controles no detecten.
  • Supervisar el tráfico cloud para identificar descargas sospechosas desde AWS, Tencent Cloud y Backblaze B2.
  • Capacitar a los usuarios para que eviten abrir archivos adjuntos inesperados de WhatsApp, incluso si parecen provenir de contactos de confianza.

Esta campaña recuerda que las aplicaciones de confianza, las herramientas legítimas y los servicios cloud comunes pueden ser utilizados como armas. Los defensores deben combinar telemetría de endpoint, inspección del tráfico cloud y concienciación del usuario para reducir la exposición.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
WhatsApp malwareVBSMSI backdoorMicrosoft Defenderthreat detection

Artículos relacionados

Security

Copilot Studio frente a riesgos OWASP de Agentic AI

Microsoft explica cómo Copilot Studio y la próxima disponibilidad general de Agent 365 pueden ayudar a las organizaciones a abordar el OWASP Top 10 for Agentic Applications. La guía es relevante porque los sistemas de agentic AI pueden usar identidades, datos y herramientas reales, creando riesgos de seguridad que van mucho más allá de respuestas inexactas.

Security

{{Protección HVA de Microsoft Defender contra ataques}}

Microsoft detalló cómo Microsoft Defender usa la conciencia de activos de alto valor para detectar y detener ataques dirigidos a controladores de dominio, servidores web e infraestructura de identidad. Al combinar el contexto de Security Exposure Management con detecciones diferenciadas y disrupción automatizada, Defender puede elevar los niveles de protección en activos Tier-0 y reducir el alcance de intrusiones sofisticadas.

Security

Seguridad de identidad en Microsoft Entra: RSAC 2026

Microsoft está posicionando la seguridad de identidad como un plano de control unificado que combina infraestructura de identidad, decisiones de acceso y protección contra amenazas en tiempo real. En RSAC 2026, la compañía anunció nuevas capacidades de Microsoft Entra y Defender, incluido un panel de seguridad de identidad, puntuación de riesgo de identidad unificada y remediación adaptativa del riesgo para ayudar a las organizaciones a reducir la fragmentación y responder más rápido a los ataques basados en identidad.

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.