Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Кампания за зловреден софтуер в WhatsApp

Кампания за зловреден софтуер в WhatsApp

До Mezo през Зловреден софтуерг
Превод на:

Киберпрестъпниците използват директни съобщения в WhatsApp, за да разпространяват злонамерени файлове, написани на Visual Basic Script (VBScript), които в крайна сметка инсталират легитимен софтуер за дистанционно наблюдение и управление (RMM) на компрометирани системи. Кампанията е насочена към потребители на WhatsApp Desktop и WhatsApp Web в множество страни, включително Малайзия, Бразилия, Индия, Мексико, Сингапур, Обединеното кралство, Испания, Тайван, Австралия, Русия и Виетнам. Малайзия е регистрирала най-голям брой засегнати потребители.

Изследователите подозират, че нападателите са получили неоторизиран достъп до няколко акаунта в WhatsApp и след това са използвали тези компрометирани профили, за да изпращат злонамерени файлове до хора в списъците им с контакти. Точният метод, използван за отвличане на тези акаунти, обаче остава неизвестен.

Прикрити като бизнес документи

Атакуващите разчитат на социално инженерство, за да убедят жертвите да отворят злонамерените файлове. Прикачените файлове във VBScript са маскирани като легитимни бизнес и финансови документи и използват убедителни имена на файлове, като например „Financial Reports.vbs“ и „Account Statement.vbs“. За да се подпомогне международният обхват на кампанията, някои файлове се появяват и на езици, включително португалски, френски, немски и малайски.

Скриптовете са силно обфускирани и съдържат обширни коментари и метаданни, предназначени да имитират автентични компоненти на Microsoft Windows Update. Многобройни коментари са написани на китайски и препращат към функции като:

  • Модули за актуализация на Windows
  • Процедури за валидиране на сертификати
  • Проверки за целостта на системата
  • Процеси, свързани с внедряването

Тези елементи са предназначени да направят файловете да изглеждат легитимни и да възпрепятстват анализа на сигурността.

Многоетапната верига на заразяване позволява отдалечен достъп

След като бъде изпълнен чрез „WScript.exe“, злонамереният VBScript инициира многоетапен процес на заразяване, като изтегля и изпълнява допълнителни VBScript компоненти. Основната цел на първоначалния скрипт е да извлече два вторични полезни натоварвания от отдалечен сървър. Единият полезен натоварващ файл се опитва да манипулира поведението на контрола на потребителските акаунти на Windows (UAC), докато другият изтегля и стартира ZIP архив, съдържащ инсталационния пакет за ManageEngine RMM Central.

Успешното инсталиране на легитимния RMM софтуер предоставя на нападателите възможности за отдалечен достъп, което им позволява да контролират системата на жертвата.

Различни пътища за изпълнение в WhatsApp Web и Desktop

Процесът на заразяване се различава в зависимост от използваната платформа WhatsApp. В WhatsApp Web жертвите трябва да изтеглят файла и ръчно да го отворят от папката за изтегляния или историята на браузъра, вярвайки, че е истински документ.

За разлика от това, приложението WhatsApp Desktop позволява на зловредния софтуер да се изпълнява директно в клиентската среда. Анализът на процеса показва, че „WhatsApp.Root.exe“, фоновият процес на приложението, е отговорен за стартирането на „WScript.exe“, който след това инициира злонамерената верига.

Възможни връзки с по-ранни операции със зловреден софтуер

Въпреки че кампанията не е официално приписана на конкретна група заплахи, разследващите са идентифицирали припокривания в инфраструктурата с предишна злонамерена дейност, свързана със семействата злонамерени програми Gh0st RAT и ValleyRAT. Тези сходства предполагат, че операцията може да споделя ресурси или тактики с по-ранни киберпрестъпни кампании.

Основни предпазни мерки за потребителите на WhatsApp

Експертите по сигурността съветват потребителите да бъдат внимателни, когато получават неочаквани прикачени файлове чрез WhatsApp, дори ако съобщенията изглеждат като идващи от доверени контакти. Следните типове файлове никога не трябва да се отварят, освен ако тяхната легитимност не е била независимо потвърдена:

  • VBS и VBE скриптови файлове
  • Изпълними файлове като EXE, BAT и CMD
  • Формати, базирани на скриптове, включително JS и PS1

Проверката на прикачените файлове преди отварянето им остава една от най-ефективните защити срещу злонамерени кампании, които експлоатират надеждни комуникационни платформи.

Зареждане...