Εκστρατεία κακόβουλου λογισμικού WhatsApp

Μέχρι το Mezo το Κακόβουλο λογισμικό

Μετάφραση σε:

Οι κυβερνοεγκληματίες χρησιμοποιούν τα άμεσα μηνύματα του WhatsApp για να διανέμουν κακόβουλα αρχεία Visual Basic Script (VBScript) που τελικά εγκαθιστούν νόμιμο λογισμικό Απομακρυσμένης Παρακολούθησης και Διαχείρισης (RMM) σε παραβιασμένα συστήματα. Η καμπάνια έχει στοχεύσει χρήστες του WhatsApp Desktop και του WhatsApp Web σε πολλές χώρες, όπως η Μαλαισία, η Βραζιλία, η Ινδία, το Μεξικό, η Σιγκαπούρη, το Ηνωμένο Βασίλειο, η Ισπανία, η Ταϊβάν, η Αυστραλία, η Ρωσία και το Βιετνάμ. Η Μαλαισία έχει καταγράψει τον μεγαλύτερο αριθμό χρηστών που έχουν επηρεαστεί.

Οι ερευνητές υποψιάζονται ότι οι εισβολείς απέκτησαν μη εξουσιοδοτημένη πρόσβαση σε αρκετούς λογαριασμούς WhatsApp και στη συνέχεια αξιοποίησαν αυτά τα παραβιασμένα προφίλ για να στείλουν κακόβουλα αρχεία σε άτομα στις λίστες επαφών τους. Ωστόσο, η ακριβής μέθοδος που χρησιμοποιήθηκε για την παραβίαση αυτών των λογαριασμών παραμένει άγνωστη.

Πίνακας περιεχομένων

Μεταμφιεσμένα ως επαγγελματικά έγγραφα

Οι επιτιθέμενοι βασίζονται στην κοινωνική μηχανική για να πείσουν τα θύματα να ανοίξουν τα κακόβουλα αρχεία. Τα συνημμένα VBScript μεταμφιέζονται σε νόμιμα επιχειρηματικά και οικονομικά έγγραφα και χρησιμοποιούν πειστικά ονόματα αρχείων όπως «Financial Reports.vbs» και «Account Statement.vbs». Για να υποστηριχθεί η διεθνής εμβέλεια της καμπάνιας, ορισμένα αρχεία εμφανίζονται επίσης σε γλώσσες όπως τα πορτογαλικά, τα γαλλικά, τα γερμανικά και τα μαλαϊκά.

Τα σενάρια είναι σε μεγάλο βαθμό ασαφή και περιέχουν εκτενή σχόλια και μεταδεδομένα που έχουν σχεδιαστεί για να μιμούνται αυθεντικά στοιχεία του Microsoft Windows Update. Πολλά σχόλια είναι γραμμένα στα κινέζικα και αναφέρονται σε συναρτήσεις όπως:

Ενότητες του Windows Update
Διαδικασίες επικύρωσης πιστοποιητικών
Έλεγχοι ακεραιότητας συστήματος
Διαδικασίες που σχετίζονται με την ανάπτυξη

Αυτά τα στοιχεία έχουν ως στόχο να κάνουν τα αρχεία να φαίνονται νόμιμα και να εμποδίζουν την ανάλυση ασφαλείας.

Η αλυσίδα μόλυνσης πολλαπλών σταδίων επιτρέπει την απομακρυσμένη πρόσβαση

Μόλις εκτελεστεί μέσω του 'WScript.exe', το κακόβουλο VBScript ξεκινά μια διαδικασία μόλυνσης πολλαπλών σταδίων, κατεβάζοντας και εκτελώντας πρόσθετα στοιχεία VBScript. Ο κύριος στόχος του αρχικού σεναρίου είναι η ανάκτηση δύο δευτερευόντων φορτίων από έναν απομακρυσμένο διακομιστή. Το ένα φορτίο επιχειρεί να χειραγωγήσει τη συμπεριφορά του Ελέγχου Λογαριασμού Χρήστη των Windows (UAC), ενώ το άλλο κατεβάζει και εκκινεί ένα αρχείο ZIP που περιέχει το πακέτο εγκατάστασης για το ManageEngine RMM Central.

Η επιτυχής εγκατάσταση του νόμιμου λογισμικού RMM παρέχει στους επιτιθέμενους δυνατότητες απομακρυσμένης πρόσβασης, επιτρέποντάς τους να ελέγχουν το σύστημα του θύματος.

Διαφορετικές διαδρομές εκτέλεσης στο WhatsApp Web και σε υπολογιστές

Η διαδικασία μόλυνσης διαφέρει ανάλογα με την πλατφόρμα WhatsApp που χρησιμοποιείται. Στο WhatsApp Web, τα θύματα καλούνται να κατεβάσουν το αρχείο και να το ανοίξουν χειροκίνητα από τον φάκελο λήψεων ή το ιστορικό του προγράμματος περιήγησης, πιστεύοντας ότι πρόκειται για γνήσιο έγγραφο.

Αντίθετα, η εφαρμογή WhatsApp Desktop επιτρέπει στο κακόβουλο λογισμικό να εκτελείται απευθείας στο περιβάλλον του πελάτη. Η ανάλυση διεργασιών δείχνει ότι το «WhatsApp.Root.exe», η διεργασία παρασκηνίου της εφαρμογής, είναι υπεύθυνο για την εκκίνηση του «WScript.exe», το οποίο στη συνέχεια ενεργοποιεί την κακόβουλη αλυσίδα.

Πιθανές συνδέσεις με προηγούμενες επιχειρήσεις κακόβουλου λογισμικού

Παρόλο που η εκστρατεία δεν έχει αποδοθεί επίσημα σε μια συγκεκριμένη ομάδα απειλών, οι ερευνητές έχουν εντοπίσει επικαλύψεις υποδομών με προηγούμενη κακόβουλη δραστηριότητα που σχετίζεται με τις οικογένειες κακόβουλου λογισμικού Gh0st RAT και ValleyRAT. Αυτές οι ομοιότητες υποδηλώνουν ότι η επιχείρηση μπορεί να μοιράζεται πόρους ή τακτικές με προηγούμενες εκστρατείες κυβερνοεγκληματιών.

Βασικές προφυλάξεις για τους χρήστες του WhatsApp

Οι ειδικοί ασφαλείας συμβουλεύουν τους χρήστες να παραμένουν προσεκτικοί όταν λαμβάνουν μη αναμενόμενα συνημμένα μέσω του WhatsApp, ακόμη και αν τα μηνύματα φαίνεται να προέρχονται από αξιόπιστες επαφές. Οι ακόλουθοι τύποι αρχείων δεν πρέπει ποτέ να ανοίγονται, εκτός εάν έχει επιβεβαιωθεί ανεξάρτητα η νομιμότητά τους:

Αρχεία σεναρίων VBS και VBE
Εκτελέσιμα αρχεία όπως EXE, BAT και CMD
Μορφές που βασίζονται σε script, συμπεριλαμβανομένων των JS και PS1

Η επαλήθευση των συνημμένων πριν από το άνοιγμά τους παραμένει μια από τις πιο αποτελεσματικές άμυνες ενάντια σε καμπάνιες κακόβουλου λογισμικού που εκμεταλλεύονται αξιόπιστες πλατφόρμες επικοινωνίας.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής