Security

Campagna malware WhatsApp con backdoor VBS e MSI

3 min di lettura

Riepilogo

Gli esperti di Microsoft Defender hanno scoperto una campagna di fine febbraio 2026 che usa messaggi WhatsApp per distribuire file VBS dannosi, quindi installa pacchetti MSI non firmati per persistenza e accesso remoto. L’attacco combina social engineering, utility Windows rinominate e servizi cloud affidabili per eludere il rilevamento, rendendo fondamentali i controlli sugli endpoint e la consapevolezza degli utenti.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft ha pubblicato i dettagli su una sofisticata campagna malware che inizia con file VBS recapitati tramite WhatsApp e termina con accesso remoto persistente attraverso installer MSI dannosi. Per i team IT e di sicurezza, questo è importante perché gli attaccanti abusano di strumenti Windows legittimi e piattaforme cloud affidabili, rendendo l’attività più difficile da distinguere dal normale traffico aziendale.

Cosa c’è di nuovo in questa campagna

Microsoft Defender Experts ha osservato la campagna a partire dalla fine di febbraio 2026. La catena di attacco include più fasi progettate per eludere il rilevamento e mantenere un accesso a lungo termine:

  • Accesso iniziale tramite WhatsApp: gli attaccanti inviano file .vbs dannosi tramite messaggi WhatsApp, facendo leva sulla fiducia degli utenti nelle app di comunicazione familiari.
  • Uso di strumenti Windows rinominati: gli script copiano utility legittime come curl.exe e bitsadmin.exe, quindi le rinominano con nomi fuorvianti come netapi.dll e sc.exe.
  • Distribuzione del payload da servizi cloud affidabili: i payload secondari vengono scaricati da servizi tra cui AWS S3, Tencent Cloud e Backblaze B2.
  • Escalation dei privilegi e persistenza: il malware manomette le impostazioni del registro relative a UAC e tenta ripetutamente l’esecuzione di comandi con privilegi elevati.
  • Backdoor MSI nella fase finale: file MSI non firmati come Setup.msi, WinRAR.msi, LinkPoint.msi e AnyDesk.msi vengono usati per stabilire accesso remoto.

Perché è significativo

Questa campagna combina diverse tendenze che i difensori stanno osservando sempre più spesso:

  • Tecniche living-off-the-land che usano binari Windows nativi
  • Distribuzione di malware ospitato nel cloud che si confonde con il traffico legittimo
  • Social engineering tramite piattaforme di messaggistica consumer
  • Persistenza tramite installer MSI che possono sembrare routine in ambienti gestiti

Una notevole opportunità di rilevamento è la discrepanza tra il nome reale di un file e i metadati PE OriginalFileName incorporati. Gli strumenti di sicurezza che ispezionano questi metadati potrebbero essere in grado di segnalare in modo più efficace i binari rinominati.

Impatto sugli amministratori IT

I team di sicurezza e degli endpoint dovrebbero presumere che il semplice blocco per tipo di file non sia sufficiente. La campagna può aggirare controlli superficiali usando cartelle nascoste, fonti di download affidabili e strumenti amministrativi legittimi.

Le organizzazioni che usano Microsoft Defender dovrebbero prestare particolare attenzione a:

  • Attività dell’host di script da percorsi non affidabili (wscript, cscript, mshta)
  • Modifiche al registro legate al comportamento di UAC
  • Esecuzione di MSI non firmati
  • Connessioni di rete verso object storage cloud usato per la preparazione dei payload
  • Rilevamenti sugli endpoint legati a binari rinominati e flag sospetti della riga di comando

Prossimi passi consigliati

  • Limitare l’esecuzione degli script in posizioni non affidabili dove possibile.
  • Abilitare la protezione fornita dal cloud in Microsoft Defender Antivirus.
  • Eseguire Defender for Endpoint EDR in block mode per fermare artefatti non rilevati da altri controlli.
  • Monitorare il traffico cloud per download sospetti da AWS, Tencent Cloud e Backblaze B2.
  • Formare gli utenti affinché evitino di aprire allegati WhatsApp inattesi, anche se provenienti da contatti apparentemente affidabili.

Questa campagna ricorda che app affidabili, strumenti legittimi e comuni servizi cloud possono tutti essere trasformati in armi. I difensori dovrebbero combinare telemetria degli endpoint, ispezione del traffico cloud e consapevolezza degli utenti per ridurre l’esposizione.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
WhatsApp malwareVBSMSI backdoorMicrosoft Defenderthreat detection

Articoli correlati

Security

Copilot Studio: rischi OWASP per Agentic AI

Microsoft spiega come Copilot Studio e l’imminente disponibilità generale di Agent 365 possano aiutare le organizzazioni ad affrontare la OWASP Top 10 per le applicazioni agentic. Questa guida è importante perché i sistemi di agentic AI possono usare identità reali, dati e strumenti, creando rischi di sicurezza che vanno ben oltre output imprecisi.

Security

Microsoft Defender HVA Protection Blocks Critical Attacks

Microsoft detailed how Microsoft Defender uses high-value asset awareness to detect and stop attacks targeting domain controllers, web servers, and identity infrastructure. By combining Security Exposure Management context with differentiated detections and automated disruption, Defender can raise protection levels on Tier-0 assets and reduce the blast radius of sophisticated intrusions.

Security

Sicurezza delle identità in Microsoft Entra: novità RSAC 2026

Microsoft sta posizionando la sicurezza delle identità come un piano di controllo unificato che combina infrastruttura delle identità, decisioni di accesso e protezione dalle minacce in tempo reale. Al RSAC 2026, l’azienda ha annunciato nuove funzionalità di Microsoft Entra e Defender, tra cui una dashboard di sicurezza delle identità, un punteggio di rischio unificato e la mitigazione adattiva del rischio per aiutare le organizzazioni a ridurre la frammentazione e rispondere più rapidamente agli attacchi basati sull’identità.

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.