WhatsApp Malware-kampagne
Cyberkriminelle bruger WhatsApp-direkte beskeder til at distribuere ondsindede Visual Basic Script (VBScript)-filer, der i sidste ende installerer legitim Remote Monitoring and Management (RMM)-software på kompromitterede systemer. Kampagnen har målrettet brugere af WhatsApp Desktop og WhatsApp Web i flere lande, herunder Malaysia, Brasilien, Indien, Mexico, Singapore, Storbritannien, Spanien, Taiwan, Australien, Rusland og Vietnam. Malaysia har registreret det højeste antal berørte brugere.
Forskere har mistanke om, at angriberne fik uautoriseret adgang til flere WhatsApp-konti og derefter udnyttede disse kompromitterede profiler til at sende ondsindede filer til personer på deres kontaktlister. Den præcise metode, der blev brugt til at kapre disse konti, er dog stadig ukendt.
Indholdsfortegnelse
Forklædt som forretningsdokumenter
Angriberne bruger social engineering til at overtale ofrene til at åbne de ondsindede filer. VBScript-vedhæftninger er forklædt som legitime forretnings- og finansielle dokumenter og bruger overbevisende filnavne som 'Financial Reports.vbs' og 'Account Statement.vbs'. For at understøtte kampagnens internationale rækkevidde vises nogle filer også på sprog som portugisisk, fransk, tysk og malaysisk.
Scriptene er stærkt forvirrede og indeholder omfattende kommentarer og metadata, der er designet til at imitere autentiske Microsoft Windows Update-komponenter. Talrige kommentarer er skrevet på kinesisk og refererer til funktioner såsom:
- Windows Update-moduler
- Procedurer for validering af certifikater
- Systemintegritetstjek
- Implementeringsrelaterede processer
Disse elementer har til formål at få filerne til at se legitime ud og hindre sikkerhedsanalyse.
Flertrinsinfektionskæde muliggør fjernadgang
Når den ondsindede VBScript er udført via 'WScript.exe', starter den en infektionsproces i flere trin ved at downloade og udføre yderligere VBScript-komponenter. Det primære formål med det indledende script er at hente to sekundære nyttelast fra en fjernserver. Den ene nyttelast forsøger at manipulere Windows User Account Control (UAC)-adfærd, mens den anden downloader og starter et ZIP-arkiv, der indeholder installationspakken til ManageEngine RMM Central.
Den vellykkede installation af den legitime RMM-software giver angriberne fjernadgangsfunktioner, der gør det muligt for dem at kontrollere offerets system.
Forskellige udførelsesstier på WhatsApp Web og Desktop
Infektionsprocessen varierer afhængigt af den anvendte WhatsApp-platform. På WhatsApp Web skal ofrene downloade filen og manuelt åbne den fra downloadmappen eller browserhistorikken, i den tro at det er et ægte dokument.
I modsætning hertil tillader WhatsApp Desktop-applikationen malwaren at køre direkte i klientmiljøet. Procesanalyse viser, at 'WhatsApp.Root.exe', applikationens baggrundsproces, er ansvarlig for at starte 'WScript.exe', som derefter starter den ondsindede kæde.
Mulige forbindelser til tidligere malwareoperationer
Selvom kampagnen ikke formelt er blevet tilskrevet en specifik trusselsgruppe, har efterforskere identificeret infrastrukturoverlapninger med tidligere ondsindet aktivitet forbundet med Gh0st RAT- og ValleyRAT-malwarefamilierne. Disse ligheder tyder på, at operationen muligvis deler ressourcer eller taktikker med tidligere cyberkriminelle kampagner.
Vigtige forholdsregler for WhatsApp-brugere
Sikkerhedseksperter råder brugere til at være forsigtige, når de modtager uventede vedhæftede filer via WhatsApp, selvom beskederne ser ud til at komme fra betroede kontakter. Følgende filtyper bør aldrig åbnes, medmindre deres legitimitet er blevet uafhængigt bekræftet:
- VBS- og VBE-scriptfiler
- Eksekverbare filer såsom EXE, BAT og CMD
- Scriptbaserede formater, herunder JS og PS1
Bekræftelse af vedhæftede filer, før de åbnes, er fortsat et af de mest effektive forsvar mod malwarekampagner, der udnytter betroede kommunikationsplatforme.
