Una nueva campaña de ingeniería social reparte documentos fraudulentos a través de WhatsApp para engañar a la víctima y que ejecute un script VBScript. El script no suelta malware tradicional: descarga e instala una herramienta legítima de gestión y monitorización remota (RMM) de ManageEngine, que el atacante usa después como puerta trasera.

El abuso de RMM legítimos —AnyDesk, ConnectWise, ManageEngine y similares— es una técnica de evasión cada vez más común. Al tratarse de binarios firmados y de uso habitual en entornos corporativos, levantan menos sospechas que un implante a medida y suelen pasar por debajo del radar de muchas listas de bloqueo.

La cadena combina dos clásicos: entrega por mensajería de confianza y ejecución mediante scripting nativo de Windows (VBScript a través de wscript/cscript). Una vez instalado el RMM, el operador obtiene sesión remota interactiva, transferencia de ficheros y ejecución de comandos sin desplegar nada que un antivirus marque como malicioso.

La defensa pasa por inventariar qué herramientas RMM están autorizadas en la organización y alertar sobre cualquier otra que aparezca, vigilar la ejecución de VBScript desde rutas de usuario y bloquear instaladores RMM no aprobados en los endpoints.


¿Estás cubierto en DefensOps?

DefensOps detecta los TTPs de esta amenaza con reglas premium del motor de detección:

  • Regla 111005 — PowerShell ofuscado / encoded command (T1059.001) · plan Professional

Técnicas MITRE ATT&CK cubiertas: T1059.001

Plan mínimo: Professional

Solicita una demo de DefensOps y comprueba en minutos qué visibilidad tendrías sobre una campaña como esta.


Fuente primaria: https://thehackernews.com/2026/06/whatsapp-vbscript-campaign-uses-fake.html