Chi utilizza WhatsApp su Windows con una certa regolarità farebbe bene a drizzare le antenne. Microsoft ha lanciato un avvertimento piuttosto serio riguardo a una campagna malevola che sta prendendo di mira proprio gli utenti dell’app di messaggistica nella sua versione desktop. Gli esperti di Microsoft Defender hanno pubblicato un comunicato ufficiale in cui descrivono comportamenti dannosi osservati nelle ultime settimane: cybercriminali esperti stanno sfruttando i messaggi di WhatsApp per distribuire file dannosi in formato Visual Basic Script.
Il meccanismo è subdolo ma, a ben guardare, segue uno schema ormai collaudato nel mondo delle minacce informatiche. Una volta che questi script vengono eseguiti, parte una catena di infezione a più fasi, pensata per garantire la persistenza nel sistema e consentire l’accesso remoto da parte degli attaccanti. Secondo quanto dichiarato dagli esperti di Microsoft, la campagna si basa su un mix di ingegneria sociale e tecniche di sfruttamento delle risorse locali. In pratica, vengono utilizzate utility di Windows rinominate per mimetizzarsi con la normale attività del sistema operativo. I payload vengono poi scaricati da servizi cloud considerati affidabili, come AWS, Tencent Cloud e Backblaze B2, e il tutto si completa con l’installazione di pacchetti Microsoft Installer (MSI) dannosi, utili a mantenere il controllo sul dispositivo colpito.
Il punto critico è proprio questo: il pericolo arriva dall’applicazione WhatsApp realizzata per i sistemi operativi Windows, perché i file malevoli sono stati progettati specificatamente per colpire quel contesto. Ma, ed è un dettaglio fondamentale, affinché l’attacco vada a buon fine serve che l’utente interagisca con il messaggio e apra l’allegato ricevuto.
Il ruolo del social engineering e perché basta un clic di troppo
Anche Malwarebytes ha confermato la natura di questi attacchi, specificando che quelli individuati da Microsoft “si basano esclusivamente sul social engineering“. Tradotto: nessuna vulnerabilità tecnica viene sfruttata in automatico. È necessario che chi sta dietro l’attacco riesca a convincere la vittima ad aprire il file su Windows. Solo a quel punto il contenuto dannoso si attiva e può prendere il controllo del dispositivo, con conseguenze facilmente immaginabili. Furto di identità, sottrazione di dati personali, accesso a informazioni sensibili. Roba che nessuno vorrebbe mai trovarsi a gestire.
Anche se il numero di persone che usa WhatsApp su Windows in modo costante non è enorme rispetto alla base utenti mobile, il rischio riguarda potenzialmente chiunque si trovi ad aprire l’app desktop in un momento sbagliato, magari distrattamente, e clicchi su qualcosa che non avrebbe dovuto aprire.
Come proteggersi da questa minaccia su WhatsApp per Windows
Ci sono alcuni accorgimenti pratici che possono fare la differenza per chi vuole evitare di cadere nella trappola dei cybercriminali. Per prima cosa, non aprire mai allegati non richiesti, anche se sembrano provenire da contatti noti. Verificare sempre che la fonte sia realmente attendibile è un passaggio che richiede pochi secondi ma può evitare guai seri. È inoltre consigliabile scansionare ogni allegato con un sistema di sicurezza avanzato prima di aprirlo.
Un altro suggerimento utile riguarda l’attivazione dell’opzione “Mostra estensione dei nomi dei file” in Esplora risorse su Windows: questo permette di individuare subito file con estensioni sospette che potrebbero essere camuffati. Effettuare download solo da siti ufficiali del produttore resta una regola d’oro, così come aggiornare regolarmente sia le applicazioni installate sia il sistema operativo, per ridurre al minimo le superfici d’attacco disponibili.
