کمپین بدافزار واتس‌اپ

تا Mezo در بدافزار

ترجمه به:

مجرمان سایبری از پیام‌های مستقیم واتس‌اپ برای توزیع فایل‌های مخرب اسکریپت ویژوال بیسیک (VBScript) استفاده می‌کنند که در نهایت نرم‌افزار قانونی نظارت و مدیریت از راه دور (RMM) را روی سیستم‌های آسیب‌دیده نصب می‌کنند. این کمپین کاربران واتس‌اپ دسکتاپ و واتس‌اپ وب را در چندین کشور از جمله مالزی، برزیل، هند، مکزیک، سنگاپور، انگلستان، اسپانیا، تایوان، استرالیا، روسیه و ویتنام هدف قرار داده است. مالزی بیشترین تعداد کاربران آسیب‌دیده را ثبت کرده است.

محققان گمان می‌کنند که مهاجمان به چندین حساب واتس‌اپ دسترسی غیرمجاز پیدا کرده‌اند و سپس از این پروفایل‌های هک‌شده برای ارسال فایل‌های مخرب به افراد موجود در فهرست مخاطبین آنها استفاده کرده‌اند. با این حال، روش دقیق مورد استفاده برای ربودن این حساب‌ها هنوز ناشناخته است.

فهرست مطالب

به عنوان اسناد تجاری مبدل شده است

مهاجمان برای ترغیب قربانیان به باز کردن فایل‌های مخرب، به مهندسی اجتماعی متکی هستند. پیوست‌های VBScript به عنوان اسناد تجاری و مالی مشروع پنهان می‌شوند و از نام‌های فایل قانع‌کننده‌ای مانند «Financial Reports.vbs» و «Account Statement.vbs» استفاده می‌کنند. برای پشتیبانی از دسترسی بین‌المللی این کمپین، برخی از فایل‌ها به زبان‌هایی از جمله پرتغالی، فرانسوی، آلمانی و مالایی نیز ظاهر می‌شوند.

این اسکریپت‌ها به شدت مبهم‌سازی شده‌اند و حاوی کامنت‌ها و فراداده‌های گسترده‌ای هستند که برای تقلید از اجزای اصلی به‌روزرسانی ویندوز مایکروسافت طراحی شده‌اند. کامنت‌های متعددی به زبان چینی نوشته شده‌اند و به توابعی مانند موارد زیر ارجاع می‌دهند:

ماژول‌های به‌روزرسانی ویندوز
مراحل اعتبارسنجی گواهینامه
بررسی‌های یکپارچگی سیستم
فرآیندهای مرتبط با استقرار

این عناصر برای این در نظر گرفته شده‌اند که فایل‌ها را قانونی جلوه دهند و مانع از تجزیه و تحلیل امنیتی شوند.

زنجیره آلودگی چند مرحله‌ای، دسترسی از راه دور را امکان‌پذیر می‌کند

پس از اجرا از طریق «WScript.exe»، VBScript مخرب با دانلود و اجرای اجزای اضافی VBScript، یک فرآیند آلودگی چند مرحله‌ای را آغاز می‌کند. هدف اصلی اسکریپت اولیه، بازیابی دو payload ثانویه از یک سرور از راه دور است. یکی از payloadها سعی در دستکاری رفتار کنترل حساب کاربری ویندوز (UAC) دارد، در حالی که دیگری یک بایگانی ZIP حاوی بسته نصب ManageEngine RMM Central را دانلود و اجرا می‌کند.

نصب موفقیت‌آمیز نرم‌افزار قانونی RMM به مهاجمان امکان دسترسی از راه دور را می‌دهد و آنها را قادر می‌سازد تا سیستم قربانی را کنترل کنند.

مسیرهای اجرایی مختلف در واتس‌اپ وب و دسکتاپ

فرآیند آلوده‌سازی بسته به پلتفرم واتس‌اپ مورد استفاده متفاوت است. در واتس‌اپ وب، قربانیان ملزم به دانلود فایل و باز کردن دستی آن از پوشه دانلودها یا تاریخچه مرورگر هستند، با این باور که این یک سند واقعی است.

در مقابل، برنامه واتس‌اپ دسکتاپ به بدافزار اجازه می‌دهد تا مستقیماً در محیط کلاینت اجرا شود. تجزیه و تحلیل فرآیند نشان می‌دهد که «WhatsApp.Root.exe»، فرآیند پس‌زمینه برنامه، مسئول راه‌اندازی «WScript.exe» است که سپس زنجیره مخرب را آغاز می‌کند.

ارتباطات احتمالی با عملیات بدافزارهای قبلی

اگرچه این کمپین به طور رسمی به یک گروه تهدید خاص نسبت داده نشده است، اما محققان همپوشانی زیرساختی با فعالیت‌های مخرب قبلی مرتبط با خانواده‌های بدافزار Gh0st RAT و ValleyRAT را شناسایی کرده‌اند. این شباهت‌ها نشان می‌دهد که این عملیات ممکن است منابع یا تاکتیک‌های مشترکی با کمپین‌های مجرمان سایبری قبلی داشته باشد.

اقدامات احتیاطی ضروری برای کاربران واتس‌اپ

کارشناسان امنیتی به کاربران توصیه می‌کنند هنگام دریافت پیوست‌های غیرمنتظره از طریق واتس‌اپ، حتی اگر به نظر می‌رسد پیام‌ها از طرف مخاطبین مورد اعتماد ارسال شده‌اند، محتاط باشند. انواع فایل‌های زیر هرگز نباید باز شوند، مگر اینکه مشروعیت آنها به طور مستقل تأیید شده باشد:

فایل‌های اسکریپت VBS و VBE
فایل‌های اجرایی مانند EXE، BAT و CMD
قالب‌های مبتنی بر اسکریپت شامل JS و PS1

تأیید پیوست‌ها قبل از باز کردن آنها، همچنان یکی از مؤثرترین راه‌های دفاعی در برابر کمپین‌های بدافزاری است که از پلتفرم‌های ارتباطی معتبر سوءاستفاده می‌کنند.

پردازشگر پرداخت EnigmaSoft's Digital River GmbH تشکیل پرونده برای ورشکستگی تأثیری بر محافظت ضد بدافزار مشتریان SpyHunter ندارد

جستجو کردن

تغییر منطقه