{"id":428,"date":"2026-04-01T16:07:46","date_gmt":"2026-04-01T16:07:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/01\/microsoft-advierte-sobre-malware-vbs-entregado-por-whatsapp-que-secuestra-windows-a-traves-de-uac-bypass-cyberdefensa-mx\/"},"modified":"2026-04-01T16:07:46","modified_gmt":"2026-04-01T16:07:46","slug":"microsoft-advierte-sobre-malware-vbs-entregado-por-whatsapp-que-secuestra-windows-a-traves-de-uac-bypass-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/01\/microsoft-advierte-sobre-malware-vbs-entregado-por-whatsapp-que-secuestra-windows-a-traves-de-uac-bypass-cyberdefensa-mx\/","title":{"rendered":"Microsoft advierte sobre malware VBS entregado por WhatsApp que secuestra Windows a trav\u00e9s de UAC Bypass \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Microsoft llama la atenci\u00f3n sobre una nueva campa\u00f1a que ha aprovechado los mensajes de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBS).<\/p>\n

La actividad, que comenz\u00f3 a finales de febrero de 2026, aprovecha estos scripts para iniciar una cadena de infecci\u00f3n de varias etapas para establecer persistencia y permitir el acceso remoto. Actualmente no se sabe qu\u00e9 se\u00f1uelos utilizan los actores de amenazas para enga\u00f1ar a los usuarios para que ejecuten los scripts.<\/p>\n

\u00abLa campa\u00f1a se basa en una combinaci\u00f3n de ingenier\u00eda social y t\u00e9cnicas de vida de la tierra\u00bb, dijo el equipo de investigaci\u00f3n de seguridad de Microsoft Defender. dicho<\/a>. \u00abUtiliza utilidades de Windows renombradas para integrarse en la actividad normal del sistema, recupera cargas \u00fatiles de servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2, e instala paquetes maliciosos de Microsoft Installer (MSI) para mantener el control del sistema\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El uso de herramientas leg\u00edtimas y plataformas confiables es una combinaci\u00f3n mortal, ya que permite a los actores de amenazas integrarse en la actividad normal de la red y aumentar la probabilidad de \u00e9xito de sus ataques.<\/p>\n

La actividad comienza cuando los atacantes distribuyen archivos VBS maliciosos a trav\u00e9s de mensajes de WhatsApp que, cuando se ejecutan, crean carpetas ocultas en \u00abC:\\ProgramData\u00bb y eliminan versiones renombradas de utilidades leg\u00edtimas de Windows como \u00abcurl.exe\u00bb (rebautizada como \u00abnetapi.dll\u00bb) y \u00abbitsadmin.exe\u00bb (rebautizada como \u00absc.exe\u00bb).<\/p>\n

\"\"<\/a><\/div>\n

Al lograr un punto de apoyo inicial, los atacantes pretenden establecer persistencia y escalar privilegios, y en \u00faltima instancia instalan paquetes MSI maliciosos en los sistemas de las v\u00edctimas. Esto se logra descargando archivos VBS auxiliares alojados en AWS S3, Tencent Cloud y Backblaze B2 utilizando los archivos binarios renombrados.<\/p>\n

\u00abUna vez que las cargas \u00fatiles secundarias est\u00e1n en su lugar, el malware comienza a alterar la configuraci\u00f3n del Control de cuentas de usuario (UAC) para debilitar las defensas del sistema\u00bb, dijo Redmond. \u00abIntenta continuamente iniciar cmd.exe con privilegios elevados, reintentando hasta que la elevaci\u00f3n de UAC se logra o el proceso finaliza por la fuerza, modificando las entradas del registro en HKLM\\Software\\Microsoft\\Win e incorporando mecanismos de persistencia para garantizar que la infecci\u00f3n sobreviva a los reinicios del sistema\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Estas acciones permiten a los actores de amenazas obtener privilegios elevados sin la interacci\u00f3n del usuario mediante una combinaci\u00f3n de manipulaci\u00f3n del Registro con t\u00e9cnicas de omisi\u00f3n de UAC y, en \u00faltima instancia, implementar instaladores MSI no firmados. Esto incluye herramientas leg\u00edtimas como AnyDesk que brindan a los atacantes acceso remoto persistente, lo que les permite extraer datos o implementar m\u00e1s malware.<\/p>\n

\u00abEsta campa\u00f1a demuestra una cadena de infecci\u00f3n sofisticada que combina ingenier\u00eda social (entrega de WhatsApp), t\u00e9cnicas sigilosas (herramientas leg\u00edtimas renombradas, atributos ocultos) y alojamiento de carga \u00fatil basado en la nube\u00bb, dijo Microsoft.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Microsoft llama la atenci\u00f3n sobre una nueva campa\u00f1a que ha aprovechado los mensajes de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBS). La actividad, que comenz\u00f3 a finales de febrero de 2026, aprovecha estos scripts para iniciar una cadena de infecci\u00f3n de varias etapas para establecer persistencia y permitir el acceso remoto. Actualmente […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[51,1471,24,1391,60,50,127,1081,54,76,1470,1469,1151,421],"class_list":["post-428","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-advierte","tag-bypass","tag-cyberdefensa-mx","tag-entregado","tag-malware","tag-microsoft","tag-por","tag-secuestra","tag-sobre","tag-traves","tag-uac","tag-vbs","tag-whatsapp","tag-windows"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=428"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/428\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}