/https://www.ilsoftware.it/app/uploads/2025/09/vulnerabilita-critica-samsung-whatsapp-RCE.jpg "WhatsApp usato per diffondere malware con script VBS e MSI")
Le campagne di malware distribuite tramite piattaforme di messaggistica non rappresentano una novità assoluta, ma la loro sofisticazione continua a crescere in modo significativo.
Già dalla fine degli anni 2010, applicazioni come WhatsApp sono diventate vettori privilegiati per attacchi di ingegneria sociale, sfruttando la fiducia tra contatti e la diffusione capillare del servizio. Nel 2026, Microsoft segnala un’evoluzione tecnica rilevante: una campagna malevola che combina script VBS e pacchetti MSI per installare backdoor persistenti nei sistemi Windows, introducendo una catena d’infezione più articolata rispetto agli schemi tradizionali.
Il meccanismo di infezione
L’attacco inizia con un messaggio WhatsApp costruito ad arte per indurre l’utente a scaricare un file apparentemente innocuo. Il contenuto spesso simula documenti aziendali o comunicazioni urgenti, sfruttando tecniche di social engineering per aumentare il tasso di apertura. Una volta eseguito, il file avvia uno script VBS (Visual Basic Script) che funge da primo stadio dell’infezione.
Lo script VBS agisce come downloader: stabilisce una connessione con un server remoto controllato dagli attaccanti e scarica un pacchetto MSI. Questo formato, normalmente utilizzato per installazioni software legittime su Windows, viene qui sfruttato per distribuire payload malevoli senza destare sospetti immediati nei sistemi di sicurezza meno aggiornati.
L’uso dei file MSI rappresenta un elemento tecnico rilevante. Questi pacchetti sfruttano il servizio Windows Installer, che opera con privilegi elevati e consente l’esecuzione di codice durante le fasi di installazione. Gli attaccanti inseriscono componenti malevoli all’interno delle sequenze di installazione, mascherandoli come operazioni legittime.
Una volta eseguito, il pacchetto installa una backdoor persistente, configurando meccanismi di avvio automatico e modificando il sistema per garantire accesso remoto continuo. In molti casi, il malware utilizza tecniche di offuscamento per evitare il rilevamento da parte degli antivirus tradizionali.
Persistenza e controllo remoto
Dopo l’installazione, la backdoor stabilisce comunicazioni con server di comando e controllo (C2). Attraverso questi canali, gli attaccanti possono eseguire comandi da remoto, esfiltrare dati o distribuire ulteriori payload. Il sistema compromesso diventa così parte di una rete controllata esternamente.
Un aspetto critico riguarda la capacità del malware di mantenere la persistenza anche dopo riavvii o tentativi di rimozione superficiale. L’uso combinato di script VBS e installer MSI consente di aggirare alcune difese basate su firme statiche, rendendo necessario un approccio di sicurezza più avanzato basato su analisi comportamentale.
Target e obiettivi della campagna
Secondo Microsoft, la campagna prende di mira principalmente ambienti aziendali, dove la probabilità di accesso a dati sensibili è maggiore. I messaggi vengono costruiti per apparire come comunicazioni interne o richieste operative, aumentando la credibilità dell’attacco.
L’obiettivo principale sembra essere il furto di informazioni e la creazione di accessi persistenti alle infrastrutture compromesse. In alcuni casi, queste infezioni possono rappresentare il primo stadio di attacchi più complessi, inclusi movimenti laterali all’interno della rete o distribuzione di ransomware.
Come contrastare questa minaccia?
La difesa contro questo tipo di minacce richiede una combinazione di strumenti e pratiche operative. L’adozione di soluzioni di sicurezza avanzate con capacità di rilevamento comportamentale risulta fondamentale per identificare attività sospette legate a script e installer.
È altrettanto importante limitare l’esecuzione di script VBS non firmati e monitorare l’uso del servizio Windows Installer. Policy di sicurezza come l’Application Control e il blocco dell’esecuzione di file provenienti da fonti non attendibili possono ridurre significativamente la superficie di attacco.
Infine, la formazione degli utenti resta un elemento chiave: riconoscere tentativi di phishing e messaggi sospetti rappresenta la prima linea di difesa contro campagne che fanno leva sull’errore umano.
/https://www.ilsoftware.it/app/uploads/2026/04/patch-apple-ios-darksword.jpg "Come Apple ha fermato gli attacchi DarkSword: dentro le patch di iOS 18.7.7")
/https://www.ilsoftware.it/app/uploads/2023/12/SMTP-Smuggling-attacco-email-contraffatte-mittente-falsificato.jpg "Subscription bombing: come gli attacchi sfruttano i form e come difendersi")
/https://www.ilsoftware.it/app/uploads/2024/07/2-5.jpg "Nuovi attacchi Rowhammer colpiscono le GPU NVIDIA e preoccupano")
/https://www.ilsoftware.it/app/uploads/2026/03/aggiornamenti-critici-google-chrome.jpg "Chrome aggiorna 3,5 miliardi di installazioni e parla di rischio estensioni")