WhatsApp e crimeware: la convergenza tra malware, social engineering e strumenti leciti

Secondo Kaspersky, gli utenti di WhatsApp Desktop e Web sono bersaglio di una nuova campagna di crimeware che distribuisce file VBScript malevoli attraverso messaggi diretti sulla piattaforma.

“La campagna descritta da Kaspersky conferma una tendenza osservata da più ricercatori nel 2026: WhatsApp sta diventando un vettore sempre più utilizzato per distribuire malware e strumenti di accesso remoto”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.

WhatsApp Desktop e Web: la diffusione del malware e il social engineering

Dalla ricerca, del mese di giugno 2026, del Global Research and Analysis Team (GReAT) di Kaspersky, emerge che l’aggressore dell’attacco sfrutta account WhatsApp già compromessi per la distribuzione di allegati malevoli. L’invio dei messaggi ai contatti, presenti nella rubrica di questi account, generano un incremento della probabilità che i destinatari aprano i file.

Dopo averlo installato, il malware permette di accedere da remoto al sistema tramite funzionalità amministrative standard, in genere adibite a fini legittimi di supporto e gestione.

“L’aspetto più interessante non è tanto il canale di diffusione, quanto l’abuso di software RMM legittimi per ottenere persistenza e controllo dei sistemi compromessi”, sottolinea Paganini.

La campagna sfrutta, invece, il social engineering, attraverso nomi di file ideati per mimetizzarsi fra o documenti aziendali di uso quotidiano.

Tra gli esempi spiccano estratti conto bancari, fatture, registrazioni di pagamento, avvisi di debito e rendiconti contabili. I nomi dei file, inoltre, appaiono in diverse lingue, tra cui inglese, portoghese, francese, tedesco e malese, a conferma della diffusione in varie aree linguistiche, con un raggio d’azione su scala regionale, soprattutto in Europa.

I Paesi e le aree geografiche più colpiti sono Malesia (sul podio per numero di casi rilevati), Brasile, Singapore, Taiwan e Vietnam.

I dettagli sull’abuso di software RMM legittimi

I codici VBScript presentano, inoltre, diversi commenti e metadati, progettati per fingersi da componenti legittimi di Microsoft Windows Update. “Microsoft aveva già documentato campagne simili basate su file VBS inviati tramite WhatsApp, con l’uso di utility Windows legittime e payload ospitati su servizi cloud affidabili per eludere i controlli di sicurezza”, ricorda Paganini.

Il flusso di esecuzione dell’allegato articola il processo in più fasi sul sistema compromesso.

Infatti, basta aprire il file, per avviare una sequenza di script sul dispositivo. Quello iniziale genera una directory di lavoro in C:\Users\Public\Documents\, dopodiché, una volta recuperati ulteriori file di script da un’infrastruttura esterna, li esegue grazie a Windows Script Host.

Gli script successivi, eseguendo ulteriori azioni sul sistema, riescono a scaricare dalla stessa infrastruttura un archivio compresso, contenente un pacchetto di installazione per un software di monitoraggio e gestione remota.

“Una volta aperti, innescano una catena di infezione a più fasi che recupera ed esegue silenziosamente ulteriori componenti dannosi da infrastrutture esterne”, ha spiegato Fareed Radzi, Security Researcher di Kaspersky GReAT.

£Il fenomeno suggerisce una crescente convergenza tra malware tradizionale, social engineering e strumenti amministrativi leciti. Questo approccio riduce la visibilità delle attività malevole e rende più difficile distinguere un attore malevolo da un utente legittimo che opera da remoto”, mette in guardia Paganini.

Come proteggersi

Per mitigare questi rischi, occorre porre attenzione nella ricezione di allegati inaspettati via WhatsApp, sebbene sembrino provenienti da contatti noti.

Contattate i mittenti reali via telefono (e non app) e email, permette di verificare se hanno spedito un allegato o se si tratta di un tentativo di attacco.

Non bisogna mai aprire file di tipo script ed eseguibili come .vbs, .vbe, .exe, .bat, .cmd, .js, e .ps1, a meno che non si sia verificato la loro legittimità in maniera indipendente.

Infine, conviene sempre usare una soluzione di sicurezza soluzione in grado di avvisare l’utente e impedire ogni tentativo di infezione.

“Più che una novità tecnica, rappresenta l’evoluzione industriale delle campagne di accesso iniziale, sempre più orientate a furtività, scalabilità e monetizzazione“, conclude Paganini, mettendo in risalto che mitigare il rischio è essenziale, attraverso simulazioni e formazione continua.