Una campagna di crimeware prende di mira gli utenti di WhatsApp Desktop e WhatsApp Web attraverso allegati dannosi inviati da account già compromessi. I file, mascherati da fatture, documenti bancari e avvisi di pagamento, avviano una catena di infezione che può fornire agli autori dell’attacco l’accesso remoto al computer della vittima.
La campagna è stata analizzata dal Global Research and Analysis Team di Kaspersky, noto come GReAT, che ha rilevato casi in diversi Paesi e territori, tra cui Malesia, Brasile, Singapore, Taiwan e Vietnam. Il maggior numero di infezioni individuate riguarda la Malesia, mentre la presenza di file tradotti in più lingue suggerisce un raggio d’azione più ampio, che potrebbe comprendere anche diversi Paesi europei.
I messaggi arrivano da account WhatsApp compromessi
Gli autori dell’operazione utilizzano account WhatsApp sottratti alle vittime per inviare gli allegati ai contatti presenti nelle conversazioni. Il messaggio appare quindi associato a una persona conosciuta, circostanza che può ridurre la diffidenza del destinatario.
Il file allegato contiene codice VBScript, un linguaggio di scripting supportato dai sistemi Windows. L’estensione utilizzata è spesso .vbs, ma il nome del documento richiama attività amministrative comuni, come una fattura da verificare, un estratto conto, una registrazione contabile, un pagamento ricevuto o un avviso relativo a un debito.
I ricercatori hanno osservato nomi in inglese, portoghese, francese, tedesco e malese. Anche il codice contiene commenti e metadati costruiti per imitare componenti collegati a Microsoft Windows Update, con lo scopo di attribuire al file un’apparenza legittima.
Dalle fatture false all’accesso remoto al computer
L’apertura dell’allegato avvia una sequenza composta da più passaggi. Il primo script crea una cartella di lavoro nel percorso C:\Users\Public\Documents\, quindi contatta un’infrastruttura esterna dalla quale scarica altri file.
I componenti successivi vengono eseguiti tramite Windows Script Host, una funzione integrata nel sistema operativo. La catena prosegue con il download di un archivio compresso che contiene un pacchetto di installazione destinato a un software di monitoraggio e gestione remota.
Strumenti di questo tipo vengono normalmente impiegati per l’assistenza tecnica e l’amministrazione dei dispositivi. In questo caso, però, il programma può offrire agli attaccanti un punto di accesso persistente al sistema compromesso, con la possibilità di controllare il computer, sottrarre informazioni o installare ulteriori componenti dannosi.
Una ricerca pubblicata da Microsoft il 31 marzo 2026 aveva descritto una campagna con caratteristiche simili. Anche in quel caso, file VBS inviati tramite WhatsApp avviavano un’infezione a più fasi e portavano all’installazione di pacchetti MSI e strumenti per l’accesso remoto.
Il ruolo della fiducia nelle conversazioni WhatsApp
La componente principale dell’attacco risiede nel social engineering. Il destinatario riceve il file da un contatto presente nella propria rubrica o in una conversazione già esistente e può quindi attribuirgli maggiore credibilità.
«Gli autori degli attacchi sfruttano la fiducia riposta nelle piattaforme di messaggistica attraverso account WhatsApp compromessi», ha spiegato Fareed Radzi, Security Researcher di Kaspersky GReAT.
Secondo il ricercatore, i documenti vengono adattati alle diverse aree linguistiche e presentati come normali comunicazioni aziendali. Dopo l’apertura, il file avvia in modo discreto il recupero dei componenti necessari per completare l’infezione.
La campagna mostra come la provenienza apparente di un messaggio non rappresenti più una garanzia sufficiente. Un account compromesso può infatti essere utilizzato per colpire colleghi, clienti, fornitori, amici e familiari della vittima iniziale.
Come riconoscere gli allegati più rischiosi
Kaspersky invita a prestare attenzione agli allegati inattesi ricevuti tramite WhatsApp, anche quando il mittente sembra conosciuto. Prima di aprire un documento relativo a fatture, pagamenti o estratti conto è opportuno chiedere una conferma al contatto attraverso una telefonata o un canale differente.
Particolare cautela va riservata ai file con estensioni .vbs, .vbe, .exe, .bat, .cmd, .js e .ps1. Questi formati possono contenere script o istruzioni eseguibili e non dovrebbero essere aperti senza una verifica preventiva della loro origine.
Gli utenti che hanno già aperto un allegato sospetto dovrebbero disconnettere il dispositivo dalla rete, avviare una scansione completa con un software di sicurezza aggiornato e controllare la presenza di programmi per l’accesso remoto che non risultano installati volontariamente. È inoltre opportuno verificare le sessioni collegate al proprio account WhatsApp e rimuovere i dispositivi sconosciuti.
Il report tecnico completo della campagna è disponibile sul portale Securelist di Kaspersky.
Aiutaci a crescere: lasciaci un like :)