Malware por WhatsApp ataca Windows con UAC Bypass: así funciona el ataque

Microsoft Defender ha identificado una campaña activa desde finales de febrero que usa WhatsApp para distribuir archivos VBS que desencadenan una cadena de infección con UAC Bypass

Ciberseguridad · Malware · Windows · WhatsApp · Microsoft Defender

Malware distribuido por WhatsApp ataca Windows con UAC Bypass y acceso remoto vía AnyDesk

El equipo de Microsoft Defender ha identificado una campaña activa desde finales de febrero de 2026 que utiliza WhatsApp para distribuir archivos VBS maliciosos en Windows. La cadena de infección combina técnicas living off the land, bypass del UAC y uso de infraestructura cloud legítima para pasar desapercibida.

⚠️ En resumen

• Campaña activa desde finales de febrero de 2026: archivos VBS maliciosos llegan por WhatsApp y desencadenan una cadena de infección compleja en Windows.
• El malware renombra herramientas legítimas del sistema (curl.exe, bitsadmin.exe) para evadir detección y descarga payloads desde AWS S3, Tencent Cloud y Backblaze B2.
• Implementa UAC Bypass para elevar privilegios sin intervención del usuario, modificando claves del registro en rutas críticas.
• El acceso remoto persistente se establece mediante AnyDesk, permitiendo exfiltración de datos y control total del sistema comprometido.
• Medida inmediata: bloquear ejecución de scripts VBS en entornos corporativos y monitorizar procesos desde C:\ProgramData.

Índice

1. La cadena de ataque paso a paso
2. Técnica living off the land: herramientas legítimas como armas
3. UAC Bypass: el punto más peligroso del ataque
4. Medidas inmediatas para entornos corporativos

Microsoft ha lanzado una alerta sobre una campaña de malware que destaca por la sofisticación de su método de distribución: WhatsApp. El equipo de Microsoft Defender ha documentado una operación activa desde finales de febrero de 2026 que utiliza la plataforma de mensajería más usada del mundo para distribuir archivos VBS maliciosos en sistemas Windows, desencadenando una cadena de infección diseñada para pasar desapercibida ante las soluciones de seguridad tradicionales.

Lo que distingue esta campaña no es un exploit de día cero ni una vulnerabilidad nueva: es la combinación de ingeniería social efectiva, abuso de herramientas nativas del sistema y uso de infraestructura cloud de confianza para alojar los componentes maliciosos.

La cadena de ataque paso a paso

El ataque sigue una secuencia bien definida que comienza con un mensaje de WhatsApp y termina con el control remoto total del sistema comprometido. Cada fase está diseñada para parecer actividad legítima ante los sistemas de detección.

1

Entrega vía WhatsApp La víctima recibe un archivo VBS a través de WhatsApp. El señuelo específico no ha sido identificado públicamente por Microsoft, aunque la naturaleza del canal sugiere ingeniería social basada en contactos de confianza o grupos comprometidos.

2

Ejecución y ocultación inicial Al ejecutarse el VBS, el script crea directorios ocultos en C:\ProgramData e introduce copias renombradas de herramientas legítimas del sistema para su uso posterior sin levantar alertas.

3

Descarga de payloads desde cloud legítimo Usando las herramientas renombradas, el malware contacta con infraestructura cloud legítima: AWS S3, Tencent Cloud y Backblaze B2. Los payloads descargados desde servicios conocidos evitan los filtros de reputación por dominio.

4

Persistencia mediante MSI y registro El sistema instala paquetes MSI maliciosos y modifica configuraciones del sistema para garantizar que el malware sobreviva a reinicios del equipo.

5

UAC Bypass y escalada de privilegios El componente más crítico: el malware ejecuta intentos repetidos de elevar privilegios mediante bypass del Control de Cuentas de Usuario, modificando claves del registro en rutas sensibles de HKLM\Software\Microsoft\Win.

6

Acceso remoto con AnyDesk Con privilegios elevados, los atacantes instalan AnyDesk para establecer acceso remoto persistente y legítimo al sistema comprometido, habilitando control total de forma encubierta.

Por qué WhatsApp como vector: WhatsApp genera un nivel de confianza que el correo electrónico corporativo ya no tiene. Los usuarios están entrenados para desconfiar de adjuntos en email, pero un archivo recibido en WhatsApp, especialmente de un contacto conocido, activa un umbral de alerta significativamente menor. Los atacantes lo saben y lo explotan.

Técnica living off the land: herramientas legítimas como armas

El núcleo de la evasión de esta campaña es la técnica conocida como "living off the land" (LOTL): en lugar de introducir herramientas maliciosas propias que los sistemas de detección pueden identificar por firma, el malware reutiliza utilidades nativas de Windows o binarios legítimos ya presentes en el sistema.

En esta campaña, la técnica se lleva un paso más allá al renombrar los binarios para disfrazar su uso en los registros del sistema.

curl.exe → netapi.dll Renombrado para disfrazar descargas HTTP como actividad de librería del sistema

bitsadmin.exe → sc.exe Renombrado para enmascarar transferencias en segundo plano como gestión de servicios

El resultado es que los registros del sistema muestran actividad de nombres de archivos que parecen componentes del propio Windows, no herramientas de descarga o transferencia de archivos. Para un analista que no conozca la campaña específica, la actividad puede pasar completamente desapercibida en una revisión inicial.

El problema de detección por firma

Las soluciones de seguridad tradicionales basadas en firmas de archivos maliciosos conocidos son ineficaces contra esta técnica. Curl.exe y bitsadmin.exe son herramientas completamente legítimas de Microsoft. Su uso en este contexto no activa ninguna alerta de firma, y el renombrado complica adicionalmente la correlación entre el proceso y la herramienta original. Solo el análisis de comportamiento y la monitorización de contexto pueden detectar este patrón.

La cadena de infección combina distribución por WhatsApp, técnicas LOTL con binarios renombrados y descarga de payloads desde servicios cloud legítimos

UAC Bypass: el punto más peligroso del ataque

El Control de Cuentas de Usuario (UAC) de Windows es una de las capas de defensa más visibles para el usuario medio: ese diálogo que solicita confirmación antes de que cualquier programa realice cambios importantes en el sistema. El UAC Bypass elimina esa barrera sin que el usuario vea ninguna solicitud de confirmación.

El malware implementa este bypass mediante intentos reiterados de ejecutar cmd.exe con privilegios elevados, combinados con modificaciones en claves específicas del registro de Windows. Una vez conseguida la elevación de privilegios, el sistema queda completamente bajo control del atacante sin que haya existido ningún momento de alerta visible para la víctima.

Las implicaciones del UAC Bypass exitoso: Con privilegios de administrador obtenidos sin interacción del usuario, el malware puede instalar software, modificar configuraciones de seguridad, acceder a todos los archivos del sistema, deshabilitar herramientas de protección y establecer mecanismos de persistencia que sobreviven a formateos parciales. Es el equivalente digital a obtener las llaves de toda la casa sin que nadie se las haya dado.

La instalación de AnyDesk como paso final es especialmente problemática desde el punto de vista de la detección. AnyDesk es una herramienta comercial legítima y ampliamente utilizada en entornos corporativos para soporte remoto. Su presencia en un sistema no activa alertas automáticas en la mayoría de soluciones de seguridad, lo que permite al atacante mantener acceso remoto persistente de forma prácticamente invisible.

📤

Exfiltración de datos sensibles Con acceso remoto persistente y privilegios de administrador, los atacantes pueden copiar y transferir cualquier archivo del sistema o de redes accesibles desde el equipo comprometido.

🦠

Instalación de malware adicional El acceso remoto permite desplegar componentes adicionales en cualquier momento: ransomware, keyloggers, herramientas de movimiento lateral o mineros de criptomonedas.

🔭

Vigilancia y espionaje continuo AnyDesk permite visualización de pantalla en tiempo real, captura de teclado y acceso a cámaras y micrófonos si el sistema lo permite, habilitando vigilancia completa del usuario afectado.

Medidas inmediatas para entornos corporativos

La naturaleza de esta campaña, basada en técnicas de evasión avanzadas y herramientas legítimas, hace que las medidas de detección tradicionales sean insuficientes. Las siguientes acciones están orientadas a reducir la superficie de ataque y mejorar la capacidad de detección.

• Bloquear ejecución de scripts VBS en entornos corporativos Aplicar políticas de grupo (GPO) que impidan la ejecución de archivos .vbs desde ubicaciones no autorizadas. La mayoría de entornos corporativos no tiene casos de uso legítimos que requieran scripts VBS recibidos por mensajería.
• Monitorizar creación de procesos desde C:\ProgramData Configurar alertas en el SIEM para cualquier proceso iniciado desde subdirectorios de C:\ProgramData, especialmente si el proceso padre es un intérprete de scripts o una herramienta de línea de comandos.
• Auditar cambios en claves del registro relacionadas con UAC Activar auditoría de modificaciones en HKLM\Software\Microsoft\Windows\CurrentVersion\Policies y rutas relacionadas. Cualquier modificación no autorizada en estas rutas es una señal de alerta crítica.
• Controlar el uso de herramientas de acceso remoto no autorizadas Mantener un inventario de las herramientas de acceso remoto aprobadas en la organización y generar alertas ante la instalación o ejecución de cualquier herramienta no incluida en la lista, incluyendo AnyDesk si no es un estándar corporativo.
• Implementar detección basada en comportamiento, no solo en firmas Las firmas de archivos son ineficaces contra técnicas LOTL. Adoptar soluciones EDR con capacidad de análisis de comportamiento y correlación de contexto es la única defensa efectiva contra este tipo de campañas.

---

Conclusión: Esta campaña representa exactamente la dirección hacia la que está evolucionando el cibercrimen avanzado: ataques que imitan comportamiento legítimo en cada fase, desde el canal de distribución hasta las herramientas utilizadas. WhatsApp como vector, binarios de Windows renombrados como herramientas de ataque, cloud legítimo como infraestructura de C2 y AnyDesk como puerta trasera son piezas que individualmente no generan alertas. Solo su correlación en contexto revela el patrón. Si la postura de seguridad de tu organización sigue basándose principalmente en detección por firma, esta campaña pasará desapercibida. La respuesta no es solo técnica: requiere cambiar el modelo de detección hacia el análisis de comportamiento y la monitorización de contexto.