Un attore sconosciuto ha compromesso account WhatsApp multipli e li sta usando per distribuire script VBScript malevoli attraverso messaggi diretti, con esecuzione nativa su Windows tramite WhatsApp Desktop. La campagna è attiva da giugno 2026 e interessa almeno 11 paesi e territori, con la maggior concentrazione di vittime in Malaysia. Questo è quanto documenta l'analisi tecnica pubblicata da Kaspersky Securelist, il team di ricerca GReAT, basata su analisi di campioni, telemetry e dynamic analysis.
L'attacco sfrutta la "trust paradox" delle piattaforme di messaggistica: il messaggio arriva da un contatto noto, abbassando la guardia anche di utenti tecnicamente attenti. La superficie di attacco è WhatsApp Desktop, non l'app mobile: il client Windows esegue VBScript tramite Windows Script Host integrato, bypassando il sandboxing tipico di Android e iOS.
- Account WhatsApp compromessi inviano allegati VBScript a contatti delle liste, senza testo accompagnatorio: il click avviene perché la fonte è ritenuta attendibile
- Esecuzione nativa su Windows: WhatsApp.Root.exe spawna WScript.exe con path nel contenitore di storage degli allegati di WhatsApp Desktop
- Catena multi-stage a 3 livelli: VBS iniziale → VBS secondari con modifica UAC e download ZIP → installazione software RMM legittimo per accesso remoto persistente
- Il software RMM finale è tecnicamente legale e spesso whitelisted, complicando detection e incident response per le aziende con dipendenti che usano WhatsApp Desktop su macchine corporate
Come funziona la catena di infezione
L'infezione richiede 2 interazioni utente: il download dell'allegato e il click su 'Open' o sull'icona del file. Il file VBS viene depositato nel percorso di storage locale di WhatsApp Desktop:
C:\Users\<username>\AppData\Local\Packages\5319275A.WhatsAppDesktop_cv1g1gvanyjgm\LocalState\Sessions\<session>\Transfers\<YYYY-MM>\[filename].vbs
Dal processo WhatsApp.Root.exe viene generato WScript.exe, confermato dall'analisi del process tree condotta da Kaspersky. Lo script iniziale avvia una catena a 3 stadi: il VBS di primo livello carica VBS secondari che modificano la configurazione UAC e scaricano un archivio ZIP, culminando nell'installazione di software RMM legittimo per l'accesso remoto.
I nomi file sono tematizzati documenti finanziari e business: fatture, estratti conto, avvisi di debito, registri di pagamento. La localizzazione copre 4 lingue: portoghese, francese, tedesco e malese. Esempi documentati: 'Le formulaire de demande le plus récent.vbs' e 'Bitte füllen Sie das Formular für Umsatzsteuer-Nullsatz-Verkäufe aus.vbs'. Ogni allegato contiene commenti in cinese che mimano componenti Windows Update, una tecnica di misdirection che non costituisce elemento di attribution.
La geografia e la scala dell'operazione
Kaspersky ha identificato vittime in 11 paesi e territori: Malaysia, Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia e Vietnam. Il maggior numero di vittime osservate si concentra in Malaysia. L'evidenza della compromissione degli account deriva da post su social media di vittime e dal pattern di invio dello stesso allegato a multipli contatti da singoli account, documentato nella telemetry dell'azienda di sicurezza.
Non emergono nel dossier sovrapposizioni infrastrutturali che colleghino l'attore a gruppi di minaccia noti. L'identità dell'operatore rimane sconosciuta. Il metodo esatto di compromissione degli account WhatsApp iniziali rimane sconosciuto: il dossier non specifica se si tratti di credential stuffing, phishing, exploit di vulnerabilità o altro vettore.
"In June 2026, we observed a malware campaign distributing malicious VBScript files through direct messages in WhatsApp" — Kaspersky Securelist
Perché WhatsApp Desktop è la superficie ideale
Il vettore è significativo perché interrompe il modello mentale di sicurezza degli utenti. Le piattaforme mobile operano in sandbox rigide: iOS e Android limitano l'esecuzione di codice arbitrario. WhatsApp Desktop su Windows eredita invece il modello di esecuzione nativa del sistema operativo, con Windows Script Host disponibile per default.
Questa asimmetria è sottovalutata nelle policy aziendali. Dipendenti che usano WhatsApp Desktop su macchine corporate introducono un canale di delivery diretto nel perimetro di sicurezza, con esecuzione che avviene fuori dal browser e dal tipico stack di protezione web. L'uso di RMM legittimo come payload finale aggiunge un ulteriore strato di evasione: il software è firmato, riconosciuto e frequentemente inserito in whitelist, rendendo la sua presenza indistinguibile da un'installazione legittima di assistenza tecnica.
Il dossier non specifica il nome del software RMM installato, né l'obiettivo post-infiltrazione: accesso remoto per furto di dati, ransomware, business email compromise o altro scopo non è documentato. Il numero totale di vittime non è quantificato oltre la geografia e la distribuzione osservata.
Cosa fare adesso
Le azioni seguenti derivano direttamente dall'analisi Kaspersky e si applicano specificamente a questa campagna VBScript/RMM via WhatsApp Desktop:
Verifica allegati da contatti compromessi. I messaggi malevoli contengono solo l'allegato, senza testo accompagnatorio. Un account che invia lo stesso file a multipli contatti è pattern di compromissione documentato: tratta ogni allegato VBS da contatto noto con la stessa cautela di un attachment sconosciuto.
Ispeziona il percorso di storage WhatsApp Desktop. Il path di esecuzione è fisso: C:\Users\<username>\AppData\Local\Packages\5319275A.WhatsAppDesktop_cv1g1gvanyjgm\LocalState\Sessions\<session>\Transfers\. File .vbs in questa directory che non corrispondano a download intenzionali sono indicatore di infezione in corso.
Monitora process tree WhatsApp.Root.exe → WScript.exe. La relazione padre-figlio tra WhatsApp Desktop e Windows Script Host è il segnale di esecuzione malevola documentato. La sua presenza indica che la catena a 3 stage è stata inizializzata.
Rivedi policy RMM su endpoint corporate con WhatsApp Desktop. Il payload finale è software RMM legittimo, spesso whitelisted. La detection tradizionale basata su firme malware fallisce: è necessario un controllo delle installazioni RMM non autorizzate, non della loro natura malevola.
Limita WhatsApp Desktop su macchine con accesso a dati aziendali sensibili. La campagna richiede 2 click utente per l'infezione completa. La riduzione della superficie di attacco passa dalla separazione tra piattaforme consumer di messaggistica e endpoint con accesso a infrastrutture critiche.
Domande frequenti
È necessario avere WhatsApp Desktop installato per essere a rischio? La campagna documentata da Kaspersky targetizza WhatsApp Desktop su Windows, con esecuzione tramite Windows Script Host. Il dossier non descrive meccanismi equivalenti per WhatsApp Web o app mobile, ma la compromissione degli account mittente espone tutti i contatti indipendentemente dalla piattaforma client.
I commenti cinesi nei VBS indicano provenienza dell'attore dalla Cina? No. Kaspersky classifica i commenti come misdirection, una tecnica di offuscamento e depistaggio. Il dossier non avanza ipotesi di attribution geografica o collegamenti a gruppi di minaccia noti.
La campagna è ancora attiva? Sì. Secondo la fonte, "the campaign is still active" al momento della pubblicazione dell'analisi.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.