I malware di WhatsApp tornano al centro dell’attenzione con una nuova campagna scoperta da Kaspersky: l’attacco prende di mira soprattutto gli utenti di WhatsApp Web e WhatsApp Desktop, usando allegati VBScript camuffati da documenti aziendali. Inoltre, i messaggi arrivano da account già compromessi, quindi sembrano inviati da contatti conosciuti. Per questo il rischio è più alto rispetto ai classici messaggi sospetti.

Malware WhatsApp: cosa ha scoperto Kaspersky

Kaspersky ha individuato una nuova campagna di crimeware che sfrutta WhatsApp per distribuire file dannosi. Il bersaglio principale sono gli utenti che usano WhatsApp Desktop e WhatsApp Web, quindi persone che ricevono e aprono allegati direttamente dal computer.

La campagna è stata resa nota nel giugno 2026 dal Global Research and Analysis Team, noto come GReAT. Secondo l’analisi, gli attaccanti usano account WhatsApp già compromessi per inviare file infetti ai contatti presenti in rubrica.

Questo dettaglio rende l’attacco più credibile. Infatti, quando un allegato arriva da un contatto conosciuto, molti utenti abbassano la guardia: di conseguenza, un file apparentemente normale può essere aperto senza troppi controlli.

Le vittime sono state individuate in diversi Paesi, tra cui Malesia, Brasile, Singapore, Taiwan e Vietnam. In più, l’uso di nomi file in più lingue suggerisce un raggio d’azione ampio, con possibili obiettivi anche in Europa.

Malware WhatsApp e documenti aziendali falsi

La parte più efficace dell’attacco riguarda il social engineering. Gli allegati non si presentano come file casuali, ma come documenti aziendali di uso quotidiano: tra gli esempi osservati ci sono fatture, estratti conto bancari, rendiconti contabili, registrazioni di pagamento e avvisi di debito.

Inoltre, i nomi dei file sono localizzati in diverse lingue, tra cui inglese, portoghese, francese, tedesco e malese. Questo permette agli attaccanti di adattare meglio il messaggio al contesto della vittima.

Il file dannoso usa estensioni legate agli script, come VBScript. Per un utente poco attento, però, il nome può sembrare quello di un normale documento amministrativo: anche per questo gli esperti consigliano di non aprire mai file .vbs, .vbe, .exe, .bat, .cmd, .js o .ps1 senza una verifica esterna.

A questo si aggiunge un altro elemento. Alcuni esempi di codice contengono commenti e metadati pensati per imitare componenti legittimi di Microsoft Windows Update, quindi l’attacco prova a sembrare tecnico e affidabile anche dopo l’apertura del file.

Come funziona la catena di infezione

Una volta aperto, l’allegato avvia una sequenza di script sul sistema compromesso: il primo script crea una directory di lavoro nel percorso C:\Users\Public\Documents\. Poi recupera altri file da un’infrastruttura esterna e li esegue tramite Windows Script Host.

Il processo non si ferma qui. Infatti, gli script successivi eseguono altre operazioni sul sistema e scaricano un archivio compresso dalla stessa infrastruttura. Questo archivio contiene un pacchetto di installazione per un software di monitoraggio e gestione remota.

La scelta è insidiosa perché questi strumenti possono avere usi legittimi. In ambito IT, infatti, software di questo tipo servono per supporto tecnico, assistenza e amministrazione dei computer. Nel contesto dell’attacco, però, diventano un modo per ottenere accesso remoto al sistema.

Di conseguenza, la vittima rischia di concedere controllo sul PC senza accorgersene subito. Inoltre, l’uso di più fasi rende l’infezione meno banale da riconoscere rispetto a un singolo file eseguibile.

Malware WhatsApp, perché l’attacco è credibile

Questo Malware WhatsApp funziona perché combina due elementi molto efficaci: fiducia e urgenza. Il messaggio arriva da un contatto già presente in rubrica, mentre il nome del file richiama documenti che spesso richiedono attenzione rapida.

In un contesto lavorativo, una fattura o un avviso di pagamento può essere aperto in fretta. Inoltre, quando si usa WhatsApp dal computer, il passaggio tra messaggio e file scaricato è ancora più immediato. Così l’attacco riduce il tempo di riflessione dell’utente.

La campagna mostra anche quanto le piattaforme di messaggistica siano diventate un canale appetibile per il cybercrime. Non parliamo più solo di email sospette, ma di messaggi privati che sfruttano identità già compromesse.

Per questo la difesa non può basarsi solo sulla provenienza del messaggio. Anche un contatto reale può inviare malware, se il suo account è stato violato.

Come proteggersi dagli allegati sospetti

La prima regola è semplice: non aprire allegati inattesi, anche se arrivano da persone conosciute. Se il file riguarda una fattura, un pagamento o un estratto conto non richiesto, meglio verificare prima con il mittente usando un canale diverso.

Inoltre, bisogna prestare attenzione alle estensioni. File di tipo .vbs, .vbe, .exe, .bat, .cmd, .js e .ps1 non andrebbero aperti senza conferme precise. Su Windows, infatti, questi formati possono eseguire istruzioni sul sistema.

Conviene anche mantenere aggiornati sistema operativo, browser e software di sicurezza. In più, una soluzione antimalware può bloccare il download o l’esecuzione di componenti dannosi prima che l’infezione vada avanti.

Infine, chi usa WhatsApp per lavoro dovrebbe separare meglio comunicazioni personali e documenti aziendali. Quando possibile, fatture e file sensibili dovrebbero passare da canali più controllati, con procedure chiare e verifiche interne.

WhatsApp Web e Desktop richiedono più attenzione

L’attacco descritto da Kaspersky non colpisce WhatsApp perché l’app sia insicura in sé. Sfrutta invece il comportamento degli utenti e la fiducia verso i contatti. Allo stesso tempo, WhatsApp Web e WhatsApp Desktop rendono più facile interagire con file che poi finiscono direttamente sul PC.

Per questo la prudenza deve aumentare proprio quando si lavora da computer. Un allegato aperto da desktop può avere conseguenze più serie rispetto a un file visualizzato solo su smartphone, soprattutto se contiene script o componenti eseguibili.

La campagna conferma anche un punto pratico: le minacce informatiche non arrivano sempre da messaggi scritti male o indirizzi improbabili. Spesso arrivano da account reali, con nomi familiari e documenti costruiti per sembrare normali.

In questo scenario, il controllo dell’estensione del file resta una delle abitudini più utili. Inoltre, chiedere conferma prima di aprire un documento inatteso può evitare molti problemi. Pochi secondi di verifica, in casi come questo, possono bloccare una catena di infezione complessa.