WhatsAppi pahavara kampaania
Küberkurjategijad kasutavad WhatsAppi otsesõnumeid pahatahtlike Visual Basic Scripti (VBScript) failide levitamiseks, mis lõpuks installivad ohustatud süsteemidesse legitiimse kaugseire ja -halduse (RMM) tarkvara. Kampaania on sihtinud WhatsApp Desktopi ja WhatsApp Webi kasutajaid mitmes riigis, sealhulgas Malaisias, Brasiilias, Indias, Mehhikos, Singapuris, Ühendkuningriigis, Hispaanias, Taiwanis, Austraalias, Venemaal ja Vietnamis. Malaisias on registreeritud suurim arv mõjutatud kasutajaid.
Teadlased kahtlustavad, et ründajad said volitamata juurdepääsu mitmele WhatsAppi kontole ja seejärel kasutasid neid ohustatud profiile pahatahtlike failide saatmiseks oma kontaktide nimekirjades olevatele inimestele. Täpne meetod nende kontode kaaperdamiseks on aga teadmata.
Sisukord
Äridokumentideks maskeeritud
Ründajad kasutavad sotsiaalset manipuleerimist, et veenda ohvreid pahatahtlikke faile avama. VBScripti manused on maskeeritud seaduslikeks äri- ja finantsdokumentideks ning kasutavad veenvaid failinimesid, näiteks „Financial Reports.vbs” ja „Account Statement.vbs”. Kampaania rahvusvahelise ulatuse toetamiseks on mõned failid saadaval ka teistes keeltes, sealhulgas portugali, prantsuse, saksa ja malai keeles.
Skriptid on tugevalt segamini aetud ning sisaldavad ulatuslikke kommentaare ja metaandmeid, mis on loodud autentsete Microsoft Windows Update'i komponentide imiteerimiseks. Arvukad kommentaarid on kirjutatud hiina keeles ja viitavad sellistele funktsioonidele nagu:
- Windowsi värskenduste moodulid
- Sertifikaatide valideerimise protseduurid
- Süsteemi terviklikkuse kontrollid
- Juurutamisega seotud protsessid
Need elemendid on mõeldud failide legitiimsuse mulje jätmiseks ja turvaanalüüsi takistamiseks.
Mitmeastmeline nakkusahel võimaldab kaugjuurdepääsu
Kui pahatahtlik VBScript on käivitatud 'WScript.exe' kaudu, algatab see mitmeastmelise nakatumisprotsessi, laadides alla ja käivitades täiendavaid VBScripti komponente. Esialgse skripti peamine eesmärk on hankida kaugserverist kaks teisest kasulikku koormust. Üks kasulik koormus üritab manipuleerida Windowsi kasutajakonto kontrolli (UAC) käitumist, samas kui teine laadib alla ja käivitab ZIP-arhiivi, mis sisaldab ManageEngine RMM Centrali installipaketti.
Legaalse RMM-tarkvara edukas installimine annab ründajatele kaugjuurdepääsu võimalused, mis võimaldavad neil ohvri süsteemi kontrollida.
Erinevad täitmisteed WhatsAppi veebis ja töölaual
Nakatumise protsess erineb olenevalt kasutatavast WhatsAppi platvormist. WhatsApp Webis peavad ohvrid faili alla laadima ja selle käsitsi allalaadimiste kaustast või brauseriajaloost avama, uskudes, et tegemist on ehtsa dokumendiga.
Seevastu WhatsApp Desktopi rakendus lubab pahavaral otse kliendikeskkonnas käivituda. Protsessianalüüs näitab, et rakenduse taustaprotsess „WhatsApp.Root.exe” käivitab „WScript.exe”, mis seejärel pahatahtliku ahela algatab.
Võimalikud seosed varasemate pahavara toimingutega
Kuigi kampaaniat pole ametlikult seostatud kindla ohugrupiga, on uurijad tuvastanud infrastruktuuri kattumisi varasema pahatahtliku tegevusega, mis on seotud Gh0st RAT ja ValleyRAT pahavaraperekondadega. Need sarnasused viitavad sellele, et operatsioon võib jagada ressursse või taktikat varasemate küberkurjategijate kampaaniatega.
Olulised ettevaatusabinõud WhatsAppi kasutajatele
Turvaeksperdid soovitavad kasutajatel olla ettevaatlikud ootamatute manuste saamisel WhatsAppi kaudu, isegi kui sõnumid näivad pärinevat usaldusväärsetelt kontaktidelt. Järgmisi failitüüpe ei tohiks kunagi avada, kui nende õigsust pole sõltumatult kinnitatud:
- VBS- ja VBE-skriptifailid
- Täitmisfailid, näiteks EXE, BAT ja CMD
- Skriptipõhised vormingud, sealhulgas JS ja PS1
Manuste kontrollimine enne nende avamist on endiselt üks tõhusamaid kaitsemeetmeid pahavara kampaaniate vastu, mis kasutavad ära usaldusväärseid suhtlusplatvorme.