Una nuova campagna di malware su WhatsApp sta preoccupando il mondo della sicurezza informatica, e questa volta il livello di sofisticazione è decisamente più alto rispetto al passato. Non è certo la prima volta che le piattaforme di messaggistica vengono usate per veicolare attacchi, ma quello che Microsoft ha segnalato nel 2026 merita attenzione particolare: si parla di una catena di infezione che combina script VBS e pacchetti MSI per installare backdoor persistenti sui sistemi Windows, con un meccanismo piuttosto articolato e difficile da intercettare con i normali strumenti di protezione.
Cosa succede con WhatsApp?
Tutto parte da un messaggio ricevuto su WhatsApp, confezionato per sembrare credibile. Può apparire come un documento aziendale, una comunicazione urgente, qualcosa che spinge chi lo riceve ad aprire il file allegato senza pensarci troppo. Classica ingegneria sociale, ma fatta bene. Una volta che il file viene eseguito, entra in azione uno script VBS, ovvero un Visual Basic Script, che rappresenta il primo stadio dell’attacco. Lo script funziona come un downloader: si collega a un server remoto gestito dagli attaccanti e scarica un pacchetto MSI. Qui sta la parte interessante dal punto di vista tecnico. Il formato MSI è quello normalmente usato per le installazioni software legittime su Windows, e proprio per questo motivo riesce a passare sotto il radar di diversi sistemi di sicurezza non aggiornati. I pacchetti MSI sfruttano il servizio Windows Installer, che opera con privilegi elevati e consente l’esecuzione di codice durante le fasi di installazione. Gli attaccanti inseriscono componenti malevoli all’interno delle sequenze di installazione, mascherandoli come operazioni del tutto normali. Il risultato finale è l’installazione di una backdoor persistente, con meccanismi di avvio automatico e modifiche al sistema pensate per garantire un accesso remoto continuo. In molti casi il malware utilizza anche tecniche di offuscamento per sfuggire agli antivirus tradizionali.
Come funziona il controllo remoto e chi è nel mirino
Dopo l’installazione, la backdoor apre un canale di comunicazione con server di comando e controllo (C2). Attraverso questi canali gli attaccanti possono fare praticamente di tutto: eseguire comandi da remoto, rubare dati, oppure distribuire ulteriori payload malevoli. Il sistema compromesso diventa a tutti gli effetti un nodo controllato dall’esterno. Un aspetto particolarmente critico è la capacità del malware di sopravvivere ai riavvii e anche a tentativi di rimozione superficiale. La combinazione di script VBS e installer MSI permette di aggirare le difese basate su firme statiche, rendendo necessario un approccio di sicurezza più evoluto, basato sull’analisi comportamentale.
Secondo Microsoft, la campagna che sfrutta WhatsApp per diffondere malware punta soprattutto agli ambienti aziendali, dove la possibilità di mettere le mani su dati sensibili è ovviamente più alta. I messaggi vengono costruiti per sembrare comunicazioni interne o richieste operative, il che aumenta parecchio la credibilità dell’inganno. L’obiettivo principale sembra essere il furto di informazioni e la creazione di accessi persistenti alle infrastrutture colpite. In alcuni casi queste infezioni possono rappresentare solo il primo passo verso attacchi più complessi, compresi movimenti laterali all’interno della rete aziendale o la distribuzione di ransomware.
Difendersi da questa minaccia: cosa serve davvero
Per contrastare questo tipo di attacco servono strumenti di sicurezza avanzati con capacità di rilevamento comportamentale, capaci di individuare attività sospette legate a script e installer. È importante anche limitare l’esecuzione di script VBS non firmati e tenere sotto controllo l’uso del servizio Windows Installer. Policy come l’Application Control e il blocco dell’esecuzione di file provenienti da fonti non attendibili possono ridurre in modo significativo la superficie di attacco. La formazione degli utenti resta poi un elemento fondamentale: saper riconoscere tentativi di phishing e messaggi sospetti su WhatsApp rappresenta la prima vera linea di difesa contro campagne che fanno leva sull’errore umano.
