CERT-In, l’agenzia indiana per la cybersicurezza, ha segnalato una campagna malevola che prende di mira gli utenti di WhatsApp Desktop e WhatsApp Web. L’attacco sfrutta account compromessi per inviare documenti aziendali falsi, come false fatture o estratti conto, trasformando una normale conversazione in un canale di distribuzione del malware.
Il punto più insidioso è la dinamica di fiducia. I file arrivano da persone presenti nella rubrica o comunque riconoscibili dall’utente, quindi non hanno l’aspetto immediato di un messaggio sospetto. In un contesto lavorativo, dove fatture, rendiconti bancari e allegati amministrativi circolano ogni giorno tra colleghi, fornitori e clienti, l’esca può apparire plausibile proprio perché inserita in una chat familiare.
Il malware si nasconde in file VBScript, identificabili dall’estensione .vbs, con nomi formulati in lingue diverse. L’obiettivo è indurre l’utente ad aprire l’allegato, superando la prima barriera psicologica: quella che normalmente porta a diffidare di un file inatteso. Una volta eseguito, il file può installare in modo silenzioso strumenti capaci di concedere agli aggressori un accesso remoto al computer.
Da quel momento il rischio non riguarda più soltanto l’account WhatsApp. La compromissione del dispositivo può aprire la strada al furto di dati e a possibili interruzioni operative, con effetti che per un utente aziendale possono estendersi a documenti, credenziali, comunicazioni interne e attività quotidiane. L’attacco mostra quanto la superficie di rischio si sia spostata anche sulle applicazioni di messaggistica usate da desktop, spesso percepite come strumenti informali ma ormai integrate nei flussi di lavoro.
La scelta di veicolare l’attacco attraverso documenti apparentemente business-oriented è coerente con abitudini consolidate. Una fattura o un estratto conto sono allegati che molti reparti amministrativi, commerciali o operativi aprono con frequenza. Se arrivano da un contatto noto, la verifica tende a essere più rapida o addirittura assente. Il malware sfrutta quindi non solo una vulnerabilità tecnica o una disattenzione puntuale, ma una routine organizzativa: ricevere un file, aprirlo, procedere.
Le indicazioni diffuse da CERT-In puntano su misure semplici ma decisive. Gli utenti non dovrebbero aprire allegati casuali, soprattutto se hanno estensione .vbs, e dovrebbero controllare con il mittente quando un documento appare fuori contesto. Il fatto che il messaggio provenga da un contatto conosciuto non basta a renderlo affidabile, perché proprio l’account del contatto potrebbe essere stato violato.
La raccomandazione include anche il mantenimento aggiornato del software di sicurezza e l’attenzione a comportamenti anomali del dispositivo. Segnali insoliti, rallentamenti, attività inattese o file sospetti possono indicare che qualcosa è già in corso. In un ambiente aziendale, questa cautela richiede anche una cultura minima della verifica: una domanda al mittente, prima di aprire un allegato, può interrompere la catena di infezione.
Il caso conferma una tendenza ormai evidente nella sicurezza digitale: gli aggressori puntano sempre più su canali quotidiani e relazioni già esistenti. WhatsApp, nelle sue versioni desktop e web, non è solo uno strumento personale, ma anche un’estensione delle comunicazioni di lavoro. Quando la fiducia diventa il vettore dell’attacco, la difesa passa da comportamenti concreti: controllare il formato dei file, verificare il contesto e trattare ogni documento inatteso come potenzialmente rischioso.