I ricercatori di Kaspersky hanno documentato una campagna malware  che usa WhatsApp come canale di distribuzione per file dannosi travestiti da documenti finanziari. Chi porta a termine l'attacco ottiene la possibilità di accedere da remoto al computer della vittima in qualsiasi momento, usando un software di gestione aziendale legittimo, installato a sua insaputa. La campagna ha colpito utenti in Malesia, Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia e Vietnam.

Il punto di partenza è la compromissione di account WhatsApp reali. I messaggi malevoli partono dai contatti presenti nella rubrica delle vittime, grazie a una precedente compromissione i cui dettagli restano al momento sconosciuti. Il file allegato si presenta come un documento urgente, con nomi volti a spaventare la potenziale vittima: estratto conto, avviso di debito, nota di pagamento, eccetera. All'interno del file gli attaccanti hanno inserito lunghi blocchi di commenti che imitano il codice autentico dei componenti di aggiornamento di Windows, e che hanno il compito di simulare codice di sistema durante eventuali analisi automatizzate di sicurezza.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Per scatenare l'infezione servono due azioni dell'utente. La prima è il download del file, che avviene selezionando l'allegato nelle versioni desktop o web di WhatsApp. La seconda è l’apertura manuale del file, che viene interpretato da Windows come uno script da eseguire, motivo per il quale lo avvia automaticamente tramite il motore di scripting integrato.

La catena di infezione

Da questo momento in poi la catena di infezione si svolge in background, così che l'utente non si accorga di nulla. Il primo script crea una cartella nascosta sul computer con un nome che gli permette di camuffarsi come una cartella di sistema. Tutto il contenuto avrà attributi speciali che lo renderà invisibile nella normale navigazione di Esplora file. Da questa posizione, lo script si collega all'infrastruttura controllata dagli attaccanti e scarica altri due script.

Le tecniche usate per mascherare questa attività variano da campione a campione: in alcuni casi i file vengono scaricati con estensioni false, quali .pdf o .txt, per poi essere rinominati prima dell'esecuzione; in altri, i programmi di sistema usati per il download vengono copiati nella cartella nascosta e rinominati per sembrare librerie di sistema. Una variante particolarmente sofisticata ricostruisce ogni singolo percorso, nome di file e indirizzo di rete carattere per carattere, ostacolando l'analisi automatica.

I due script scaricati nella fase successiva hanno compiti distinti ma coordinati. Il primo punta a disabilitare la protezione di Windows che normalmente avvisa l'utente prima di permettere a un programma di apportare modifiche al sistema. Il secondo script scarica un archivio compresso, lo estrae in un'altra cartella nascosta e avvia il file di installazione in esso contenuto, che contiene un pacchetto di installazione preconfigurato di ManageEngine Endpoint Central (una piattaforma professionale per la gestione remota di computer aziendali). Prima di procedere, lo script verifica che tutti i file necessari siano presenti, poi richiede i privilegi amministrativi a Windows e, una volta ottenuti, installa un agente di gestione remota perfettamente funzionante, connesso ai server controllati dagli attaccanti. Da quel momento, chi ha condotto l'attacco può accedere alla macchina, eseguire operazioni, spostare file, installare altro software o esfiltrare dati, il tutto attraverso un canale che dall'esterno appare come normale traffico di un prodotto commerciale legittimo.

L'analisi degli indirizzi dei server di gestione porta all’infrastruttura di comando e controllo associata a ValleyRAT e Gh0st RAT, due famiglie di malware già documentate e collegate ad attività di cyber spionaggio. La sovrapposizione è significativa, ma Kaspersky precisa che le evidenze disponibili non sono sufficienti per stabilire un collegamento diretto né per attribuire la campagna a un gruppo noto con sufficiente certezza.

Comunque, diversi elementi orientano verso un operatore di lingua cinese: i commenti presenti negli script, la sovrapposizione con infrastrutture già associate a campagne di area cinese, e schemi operativi coerenti con pattern documentati in precedenza. Il profilo delle vittime descrive una campagna opportunistica.