WhatsAppin haittaohjelmakampanja
Kyberrikolliset käyttävät WhatsAppin suoria viestejä levittääkseen haitallisia Visual Basic Script (VBScript) -tiedostoja, jotka lopulta asentavat laillisen etävalvonta- ja -hallintaohjelmiston (RMM) vaarantuneisiin järjestelmiin. Kampanja on kohdistettu WhatsApp Desktopin ja WhatsApp Webin käyttäjiin useissa maissa, kuten Malesiassa, Brasiliassa, Intiassa, Meksikossa, Singaporessa, Isossa-Britanniassa, Espanjassa, Taiwanissa, Australiassa, Venäjällä ja Vietnamissa. Malesiassa on kirjattu eniten tartunnan saaneita käyttäjiä.
Tutkijat epäilevät, että hyökkääjät pääsivät luvattomasti käsiksi useisiin WhatsApp-tileihin ja käyttivät näitä vaarantuneita profiileja lähettääkseen haitallisia tiedostoja yhteystietoluetteloissaan oleville henkilöille. Tarkka tilien kaappaamiseen käytetty menetelmä on kuitenkin edelleen tuntematon.
Sisällysluettelo
Naamioitu liiketoiminta-asiakirjoiksi
Hyökkääjät käyttävät sosiaalista manipulointia saadakseen uhrit avaamaan haitalliset tiedostot. VBScript-liitteet on naamioitu laillisiksi liiketoiminta- ja talousasiakirjoiksi, ja niissä käytetään vakuuttavia tiedostonimiä, kuten "Financial Reports.vbs" ja "Account Statement.vbs". Kampanjan kansainvälisen ulottuvuuden tukemiseksi jotkin tiedostot ovat saatavilla myös portugaliksi, ranskaksi, saksaksi ja malaijiksi.
Skriptit ovat pahasti monimutkaisia ja sisältävät laajoja kommentteja ja metatietoja, jotka on suunniteltu jäljittelemään aitoja Microsoft Windows Updaten komponentteja. Lukuisat kommentit on kirjoitettu kiinaksi ja ne viittaavat funktioihin, kuten:
- Windows Updaten moduulit
- Varmenteiden validointimenettelyt
- Järjestelmän eheystarkastukset
- Käyttöönottoon liittyvät prosessit
Näiden elementtien tarkoituksena on saada tiedostot näyttämään laillisilta ja vaikeuttaa tietoturva-analyysiä.
Monivaiheinen tartuntaketju mahdollistaa etäkäytön
Kun haitallinen VBScript-skripti suoritetaan 'WScript.exe':n kautta, se käynnistää monivaiheisen tartuntaprosessin lataamalla ja suorittamalla lisää VBScript-komponentteja. Alkuperäisen skriptin ensisijainen tavoite on hakea kaksi toissijaista hyötykuormaa etäpalvelimelta. Toinen hyötykuorma yrittää manipuloida Windowsin käyttäjätilien valvonnan (UAC) toimintaa, kun taas toinen lataa ja käynnistää ZIP-arkiston, joka sisältää ManageEngine RMM Centralin asennuspaketin.
Laillisen RMM-ohjelmiston onnistunut asennus antaa hyökkääjille etäkäyttöominaisuudet, joiden avulla he voivat hallita uhrin järjestelmää.
Eri suorituspolut WhatsApp Webissä ja työpöydällä
Tartuntaprosessi vaihtelee käytetyn WhatsApp-alustan mukaan. WhatsApp Webissä uhrien on ladattava tiedosto ja avattava se manuaalisesti latauskansiosta tai selainhistoriasta uskoen sen olevan aito asiakirja.
WhatsApp Desktop -sovellus sitä vastoin sallii haittaohjelman suorittaa sen suoraan asiakasympäristössä. Prosessianalyysi osoittaa, että sovelluksen taustaprosessi 'WhatsApp.Root.exe' on vastuussa 'WScript.exe:n' käynnistämisestä, joka puolestaan käynnistää haittaohjelmaketjun.
Mahdollisia yhteyksiä aiempiin haittaohjelmien toimintoihin
Vaikka kampanjaa ei ole virallisesti liitetty tiettyyn uhkaryhmään, tutkijat ovat havainneet infrastruktuurin päällekkäisyyksiä aiemman Gh0st RAT- ja ValleyRAT-haittaohjelmaperheisiin liittyvän haitallisen toiminnan kanssa. Nämä yhtäläisyydet viittaavat siihen, että operaatiolla saattaa olla yhteisiä resursseja tai taktiikoita aiempien kyberrikolliskampanjoiden kanssa.
Olennaiset varotoimet WhatsApp-käyttäjille
Tietoturva-asiantuntijat neuvovat käyttäjiä olemaan varovaisia saadessaan odottamattomia liitteitä WhatsAppin kautta, vaikka viestit näyttäisivät tulevan luotettavilta yhteyshenkilöiltä. Seuraavia tiedostotyyppejä ei tule koskaan avata, ellei niiden aitoutta ole vahvistettu itsenäisesti:
- VBS- ja VBE-skriptitiedostot
- Suoritettavat tiedostot, kuten EXE, BAT ja CMD
- Skriptipohjaiset muodot, mukaan lukien JS ja PS1
Liitteiden tarkistaminen ennen niiden avaamista on edelleen yksi tehokkaimmista keinoista suojautua luotettavia viestintäalustoja hyödyntäviä haittaohjelmakampanjoita vastaan.