Una nuova campagna di crimeware prende di mira gli utenti di WhatsApp Desktop e WhatsApp Web, distribuendo file VBScript dannosi tramite messaggi diretti sulla piattaforma. Sono state identificate vittime in diversi Paesi e territori, tra cui Malesia, Brasile, Singapore, Taiwan e Vietnam, con il maggior numero di casi rilevati in Malesia. L'utilizzo di nomi di file in più lingue suggerisce inoltre un ampio raggio d'azione a livello regionale, in particolare in Europa.
La campagna è stata resa nota nel giugno 2026 dal Global Research and Analysis Team (GReAT) di Kaspersky. Secondo la loro ricerca, l'autore dell'attacco utilizza account WhatsApp precedentemente compromessi per distribuire allegati dannosi. I messaggi vengono inviati ai contatti presenti in tali account, aumentando così la probabilità che i destinatari aprano i file. Una volta installato, il malware consente l'accesso remoto al sistema attraverso funzionalità amministrative standard, normalmente destinate a scopi legittimi di supporto e gestione.
La componente di social engineering si basa su nomi di file progettati per assomigliare a documenti aziendali di uso quotidiano. Tra gli esempi osservati figurano fatture, estratti conto bancari, rendiconti contabili, registrazioni di pagamento e avvisi di debito. I nomi dei file sono inoltre localizzati in diverse lingue, tra cui inglese, portoghese, francese, tedesco e malese, a conferma di una distribuzione estesa in differenti aree linguistiche. Inoltre, gli esempi di codice VBScript contengono numerosi commenti e metadati pensati per imitare componenti legittimi di Microsoft Windows Update.
“In questa campagna,
gli autori degli attacchi sfruttano la fiducia riposta nelle piattaforme di
messaggistica utilizzando account WhatsApp compromessi per inviare allegati
dannosi che sembrano provenire da contatti noti, rendendo i destinatari molto
più propensi a interagire con essi. I nomi dei file sono accuratamente
camuffati da documenti aziendali di routine, quali fatture e avvisi di
pagamento, e localizzati in diverse lingue per consentire un targeting più
ampio. Una volta aperti, innescano una catena di infezione a più fasi che
recupera ed esegue silenziosamente ulteriori componenti dannosi da
infrastrutture esterne”, ha dichiarato Fareed Radzi, Security Researcher di Kaspersky GReAT.
Il flusso di esecuzione dell'allegato segue un processo articolato in più fasi sul sistema compromesso. Una volta aperto, il file avvia una sequenza di script sul dispositivo. Lo script iniziale crea una directory di lavoro in C:\Users\Public\Documents\, quindi recupera ulteriori file di script da un'infrastruttura esterna e li esegue utilizzando Windows Script Host. Questi script successivi eseguono ulteriori azioni sul sistema e scaricano un archivio compresso dalla stessa infrastruttura. L'archivio contiene un pacchetto di installazione per un software di monitoraggio e gestione remota.
Il report completo è disponibile su Securelist.com.
Gli esperti di Kaspersky GReAT raccomandano agli utenti di:
· Prestare attenzione quando si ricevono allegati inattesi tramite WhatsApp, anche se sembrano provenire da contatti conosciuti, poiché potrebbero contenere malware
· Non aprire file di tipo script ed eseguibili come .vbs, .vbe, .exe, .bat, .cmd, .js, e .ps1 a meno che la loro legittimità non sia stata verificata in modo indipendente.
· Utilizzare una soluzione di sicurezza efficace su tutti i computer e i dispositivi mobili, come Kaspersky Premium. La soluzione avviserà l'utente e impedirà qualsiasi tentativo di infezione.
