Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Campanya de programari maliciós de WhatsApp

Campanya de programari maliciós de WhatsApp

El Mezo el Programari maliciós
Traduir a:

Els ciberdelinqüents utilitzen missatges directes de WhatsApp per distribuir fitxers maliciosos de Visual Basic Script (VBScript) que finalment instal·len programari legítim de monitorització i gestió remota (RMM) en sistemes compromesos. La campanya s'ha dirigit a usuaris de WhatsApp Desktop i WhatsApp Web en diversos països, com ara Malàisia, Brasil, Índia, Mèxic, Singapur, el Regne Unit, Espanya, Taiwan, Austràlia, Rússia i Vietnam. Malàisia ha registrat el nombre més alt d'usuaris afectats.

Els investigadors sospiten que els atacants van obtenir accés no autoritzat a diversos comptes de WhatsApp i després van aprofitar aquests perfils compromesos per enviar fitxers maliciosos a persones de les seves llistes de contactes. Tanmateix, es desconeix el mètode exacte utilitzat per segrestar aquests comptes.

Disfressats de documents comercials

Els atacants es basen en l'enginyeria social per persuadir les víctimes perquè obrin els fitxers maliciosos. Els fitxers adjunts de VBScript es disfressen de documents comercials i financers legítims i utilitzen noms de fitxer convincents com ara "Financial Reports.vbs" i "Account Statement.vbs". Per donar suport a l'abast internacional de la campanya, alguns fitxers també apareixen en idiomes com el portuguès, el francès, l'alemany i el malai.

Els scripts estan molt ofuscats i contenen comentaris i metadades extensos dissenyats per imitar components autèntics de Microsoft Windows Update. Nombrosos comentaris estan escrits en xinès i fan referència a funcions com ara:

  • Mòduls d'actualització de Windows
  • Procediments de validació de certificats
  • Comprovacions d'integritat del sistema
  • Processos relacionats amb el desplegament

Aquests elements tenen com a objectiu fer que els fitxers semblin legítims i dificultar l'anàlisi de seguretat.

La cadena d’infecció multietapa permet l’accés remot

Un cop executat mitjançant "WScript.exe", el VBScript maliciós inicia un procés d'infecció en diverses etapes descarregant i executant components VBScript addicionals. L'objectiu principal de l'script inicial és recuperar dues càrregues útils secundàries d'un servidor remot. Una càrrega útil intenta manipular el comportament del Control de comptes d'usuari de Windows (UAC), mentre que l'altra descarrega i inicia un arxiu ZIP que conté el paquet d'instal·lació de ManageEngine RMM Central.

La instal·lació correcta del programari RMM legítim atorga als atacants capacitats d'accés remot, cosa que els permet controlar el sistema de la víctima.

Diferents rutes d’execució a WhatsApp Web i Desktop

El procés d'infecció varia segons la plataforma de WhatsApp que s'utilitzi. A WhatsApp Web, les víctimes han de descarregar el fitxer i obrir-lo manualment des de la carpeta de descàrregues o l'historial del navegador, creient que és un document genuí.

En canvi, l'aplicació WhatsApp Desktop permet que el programari maliciós s'executi directament dins de l'entorn del client. L'anàlisi del procés mostra que "WhatsApp.Root.exe", el procés en segon pla de l'aplicació, és el responsable d'iniciar "WScript.exe", que després inicia la cadena maliciosa.

Possibles connexions amb operacions de programari maliciós anteriors

Tot i que la campanya no s'ha atribuït formalment a un grup d'amenaces específic, els investigadors han identificat solapaments d'infraestructures amb activitats malicioses prèvies associades a les famílies de programari maliciós Gh0st RAT i ValleyRAT. Aquestes similituds suggereixen que l'operació pot compartir recursos o tàctiques amb campanyes ciberdelinqüents anteriors.

Precaucions essencials per als usuaris de WhatsApp

Els experts en seguretat aconsellen als usuaris que vagin amb compte quan rebin fitxers adjunts inesperats a través de WhatsApp, fins i tot si els missatges semblen provenir de contactes de confiança. Els següents tipus de fitxers no s'han d'obrir mai tret que la seva legitimitat s'hagi confirmat de manera independent:

  • Fitxers de script VBS i VBE
  • Fitxers executables com ara EXE, BAT i CMD
  • Formats basats en scripts, inclosos JS i PS1

Verificar els fitxers adjunts abans d'obrir-los continua sent una de les defenses més efectives contra les campanyes de programari maliciós que exploten plataformes de comunicació fiables.

Carregant...