Kampaň proti malwaru ve WhatsAppu

Kyberzločinci používají přímé zprávy WhatsApp k distribuci škodlivých souborů Visual Basic Script (VBScript), které nakonec instalují legitimní software pro vzdálené monitorování a správu (RMM) na napadené systémy. Kampaň se zaměřila na uživatele WhatsApp Desktop a WhatsApp Web v řadě zemí, včetně Malajsie, Brazílie, Indie, Mexika, Singapuru, Spojeného království, Španělska, Tchaj-wanu, Austrálie, Ruska a Vietnamu. Malajsie zaznamenala nejvyšší počet postižených uživatelů.

Výzkumníci se domnívají, že útočníci získali neoprávněný přístup k několika účtům WhatsApp a poté tyto napadené profily zneužili k odesílání škodlivých souborů lidem v jejich seznamech kontaktů. Přesná metoda použitá k úniku těchto účtů však zůstává neznámá.

Maskované jako obchodní dokumenty

Útočníci se spoléhají na sociální inženýrství, aby přesvědčili oběti k otevření škodlivých souborů. Přílohy VBScript jsou maskovány jako legitimní obchodní a finanční dokumenty a používají přesvědčivé názvy souborů, jako například „Financial Reports.vbs“ a „Account Statement.vbs“. Aby se podpořil mezinárodní dosah kampaně, některé soubory se objevují také v jazycích, jako je portugalština, francouzština, němčina a malajština.

Skripty jsou silně zahaleny do obfuskace a obsahují rozsáhlé komentáře a metadata, jejichž cílem je napodobit autentické komponenty služby Microsoft Windows Update. Četné komentáře jsou napsány v čínštině a odkazují na funkce, jako například:

• Moduly Windows Update
• Postupy ověřování certifikátů
• Kontroly integrity systému
• Procesy související s nasazením

Tyto prvky mají za cíl vytvořit dojem legitimity souborů a ztížit bezpečnostní analýzu.

Vícestupňový infekční řetězec umožňuje vzdálený přístup

Jakmile je škodlivý skript VBScript spuštěn prostřednictvím souboru „WScript.exe“, zahájí vícestupňový proces infekce stažením a spuštěním dalších komponent VBScript. Primárním cílem úvodního skriptu je načíst dva sekundární datové soubory ze vzdáleného serveru. Jeden datový soubor se pokouší manipulovat s chováním Řízení uživatelských účtů systému Windows (UAC), zatímco druhý stahuje a spouští ZIP archiv obsahující instalační balíček pro ManageEngine RMM Central.

Úspěšná instalace legitimního softwaru RMM poskytuje útočníkům možnosti vzdáleného přístupu, což jim umožňuje ovládat systém oběti.

Různé způsoby spuštění v WhatsApp Web a Desktop

Proces infekce se liší v závislosti na použité platformě WhatsApp. Na WhatsApp Web musí oběti stáhnout soubor a ručně jej otevřít ze složky stažených souborů nebo historie prohlížeče v domnění, že se jedná o pravý dokument.

Naproti tomu desktopová aplikace WhatsApp umožňuje malwaru spouštět se přímo v klientském prostředí. Analýza procesů ukazuje, že za spuštění souboru WScript.exe, který následně iniciuje škodlivý řetězec, je zodpovědný proces „WhatsApp.Root.exe“, který běží na pozadí aplikace.

Možné souvislosti s dřívějšími operacemi malwaru

Ačkoli kampaň nebyla formálně přiřazena konkrétní skupině hrozeb, vyšetřovatelé identifikovali překrývání infrastruktury s předchozí škodlivou aktivitou spojenou s malwarovými rodinami Gh0st RAT a ValleyRAT. Tyto podobnosti naznačují, že operace může sdílet zdroje nebo taktiky s dřívějšími kyberzločineckými kampaněmi.

Základní bezpečnostní opatření pro uživatele WhatsAppu

Bezpečnostní experti radí uživatelům, aby byli opatrní při přijímání neočekávaných příloh prostřednictvím WhatsAppu, a to i v případě, že se zdá, že zprávy pocházejí od důvěryhodných kontaktů. Následující typy souborů by se nikdy neměly otevírat, pokud nebyla nezávisle ověřena jejich legitimita:

• Soubory skriptů VBS a VBE
• Spustitelné soubory, jako například EXE, BAT a CMD
• Formáty založené na skriptech včetně JS a PS1

Ověřování příloh před jejich otevřením zůstává jednou z nejúčinnějších obran proti malwarovým kampaním, které zneužívají důvěryhodné komunikační platformy.