Negli ultimi anni le piattaforme di messaggistica sono diventate veicoli privilegiati per attacchi mirati. Questa indagine parte dall’analisi di ricercatori Microsoft che hanno tracciato una campagna che usa WhatsApp per Windows come vettore per distribuire codice malevolo. L’obiettivo dichiarato dei criminali informatici non è una semplice infezione temporanea, ma la persistenza sul sistema attraverso backdoor che permettono accesso remoto e controllo continuativo.
Il meccanismo si basa su tecniche di ingegneria sociale e sull’uso di script apparentemente innocui. Invece di sfruttare bug nei client mobile, gli aggressori puntano su funzionalità offerte dalla versione desktop di WhatsApp, inducendo l’utente a eseguire allegati in formato .vbs. Una volta lanciati, questi script orchestrano una serie di operazioni atte a mimetizzare le attività malevole tra i processi legittimi di sistema.
Come avviene l’infezione
Il punto di partenza è un messaggio che spinge la vittima ad aprire o eseguire un file VBS. Dopo l’esecuzione, lo script crea cartelle nascoste in C:\ProgramData e copia utility di Windows reali, rinominandole per evitare rilevazioni: è la tecnica nota come living off the land. Questo approccio sfrutta strumenti già presenti nel sistema per compiere azioni malevole senza introdurre immediatamente binari sospetti.
Download da servizi cloud
La campagna scarica ulteriori payload VBS ospitati su provider cloud riconosciuti come AWS, Tencent Cloud e Backblaze. Poiché il traffico verso queste piattaforme è comune, le richieste risultano difficili da distinguere rispetto a download legittimi. Gli script successivi tentano inoltre di ottenere privilegi elevati per modificare le impostazioni del Controllo account utente (UAC), riducendo gli avvisi che potrebbero allertare l’utente.
Persistenza e installazione delle backdoor
Per garantire l’esecuzione dopo ogni riavvio, vengono aggiunte chiavi al registro di sistema e modificate impostazioni che consentono l’avvio automatico degli elementi malevoli. La fase finale prevede il download di file .msi che all’apparenza sembrano installer innocui, con nomi come Setup.msi, WinRAR.msi, LinkPoint.msi o AnyDesk.msi, ma in realtà si tratta di vere e proprie backdoor. Questi pacchetti attivano accessi remoti che permettono ai criminali di eseguire una vasta gamma di azioni dannose: furto di dati, deploy di ulteriori malware e movimento laterale nella rete locale.
Impatto operativo
Quando un avversario ottiene accesso persistente, il rischio si estende oltre la singola macchina: account aziendali, credenziali memorizzate e dispositivi connessi possono essere compromessi.
L’uso di strumenti legittimi come copertura rende più complessa la rilevazione, mentre l’assenza di firme digitali nei pacchetti MSI è un indicatore importante per le soluzioni di sicurezza.
Contromisure e suggerimenti pratici
Per limitare l’esposizione è fondamentale intervenire su più livelli. A livello utente la regola d’oro è semplice: non eseguire allegati .vbs o .msi ricevuti via messaggi senza verificare la fonte. Per le organizzazioni, Microsoft raccomanda di bloccare l’esecuzione di script non autorizzati e monitorare il traffico verso piattaforme cloud note per individuare pattern anomali.
Strumenti come Microsoft Defender con protezione cloud e Defender SmartScreen possono impedire l’accesso a siti che ospitano payload, mentre soluzioni enterprise come EDR, AppLocker o WDAC limitano l’esecuzione di codice non firmato.
Attivare il PowerShell logging, usare Sysmon per il monitoraggio dei processi e integrare risultati su un SIEM migliora la visibilità e la capacità di risposta.
Per gli specialisti, tecniche di hunting con strumenti open source come Velociraptor e regole YARA personalizzate per gli Indicatori of Compromise (IOC) legati a VBS e MSI sono passi utili per riconoscere varianti della campagna. Segmentare la rete e applicare politiche di least privilege riduce poi le possibilità di movimento laterale in caso di compromissione.
In sintesi, la minaccia mostra come la combinazione di social engineering, servizi cloud legittimi e strumenti di sistema possa generare campagne efficaci contro utenti non autorizzati. La formazione degli utenti, insieme a controlli tecnici multilivello, resta la miglior difesa per contrastare questo tipo di attacchi.
