הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית קמפיין תוכנות זדוניות בוואטסאפ

קמפיין תוכנות זדוניות בוואטסאפ

עד Mezo ב-תוכנה זדונית
לתרגם ל:

פושעי סייבר משתמשים בהודעות ישירות בוואטסאפ כדי להפיץ קבצי Visual Basic Script (VBScript) זדוניים שבסופו של דבר מתקינים תוכנה לגיטימית לניטור וניהול מרחוק (RMM) על מערכות שנפרצו. הקמפיין כיוון למשתמשי WhatsApp Desktop ו-WhatsApp Web במספר מדינות, כולל מלזיה, ברזיל, הודו, מקסיקו, סינגפור, בריטניה, ספרד, טייוואן, אוסטרליה, רוסיה ווייטנאם. מלזיה רשמה את המספר הגבוה ביותר של משתמשים שנפגעו.

חוקרים חושדים כי התוקפים השיגו גישה בלתי מורשית למספר חשבונות וואטסאפ ולאחר מכן ניצלו את הפרופילים שנפגעו כדי לשלוח קבצים זדוניים לאנשים ברשימות אנשי הקשר שלהם. עם זאת, השיטה המדויקת ששימשה לחטיפת חשבונות אלה נותרה לא ידועה.

במסווה של מסמכי עסקים

התוקפים מסתמכים על הנדסה חברתית כדי לשכנע את הקורבנות לפתוח את הקבצים הזדוניים. קבצי ה-VBScript המצורפים מוסווים כמסמכים עסקיים וכספיים לגיטימיים ומשתמשים בשמות קבצים משכנעים כגון 'Financial Reports.vbs' ו-'Account Statement.vbs'. כדי לתמוך בהישג ידו הבינלאומי של הקמפיין, חלק מהקבצים מופיעים גם בשפות כולל פורטוגזית, צרפתית, גרמנית ומלאית.

הסקריפטים מעורפלים מאוד ומכילים הערות ומטא-דאטה נרחבים שנועדו לחקות רכיבים אותנטיים של Microsoft Windows Update. הערות רבות כתובות בסינית ומתייחסות לפונקציות כגון:

  • מודולי Windows Update
  • נהלי אימות תעודה
  • בדיקות שלמות המערכת
  • תהליכים הקשורים לפריסה

אלמנטים אלה נועדו לגרום לקבצים להיראות לגיטימיים ולעכב ניתוח אבטחה.

שרשרת זיהום רב-שלבית מאפשרת גישה מרחוק

לאחר הפעלתו דרך 'WScript.exe', ה-VBScript הזדוני מתחיל תהליך הדבקה רב-שלבי על ידי הורדה והפעלה של רכיבי VBScript נוספים. המטרה העיקרית של הסקריפט הראשוני היא לאחזר שני מטענים משניים משרת מרוחק. מטען אחד מנסה לתמרן את התנהגות בקרת חשבון המשתמש של Windows (UAC), בעוד שהשני מוריד ומפעיל ארכיון ZIP המכיל את חבילת ההתקנה עבור ManageEngine RMM Central.

התקנה מוצלחת של תוכנת RMM לגיטימית מעניקה לתוקפים יכולות גישה מרחוק, המאפשרות להם לשלוט במערכת של הקורבן.

נתיבי ביצוע שונים ב-WhatsApp Web ובמחשב שולחני

תהליך ההדבקה משתנה בהתאם לפלטפורמת WhatsApp שבה נעשה שימוש. ב-WhatsApp Web, הקורבנות נדרשים להוריד את הקובץ ולפתוח אותו ידנית מתיקיית ההורדות או מהיסטוריית הדפדפן, מתוך אמונה שמדובר במסמך אמיתי.

לעומת זאת, אפליקציית WhatsApp Desktop מאפשרת לתוכנה הזדונית לפעול ישירות בתוך סביבת הלקוח. ניתוח התהליך מראה ש-'WhatsApp.Root.exe', תהליך הרקע של האפליקציה, אחראי להפעלת 'WScript.exe', אשר לאחר מכן מפעיל את שרשרת התוכנה הזדונית.

קשרים אפשריים לפעולות זדוניות קודמות

למרות שהקמפיין לא יוחס רשמית לקבוצת איומים ספציפית, חוקרים זיהו חפיפות תשתית עם פעילות זדונית קודמת הקשורה למשפחות הנוזקות Gh0st RAT ו-ValleyRAT. קווי דמיון אלה מצביעים על כך שהפעולה עשויה לחלוק משאבים או טקטיקות עם קמפיינים קודמים של פושעי סייבר.

אמצעי זהירות חיוניים למשתמשי וואטסאפ

מומחי אבטחה ממליצים למשתמשים לנקוט משנה זהירות בעת קבלת קבצים מצורפים בלתי צפויים דרך WhatsApp, גם אם נראה שההודעות מגיעות מאנשי קשר מהימנים. אין לפתוח את סוגי הקבצים הבאים אלא אם כן אמיתותם אושרה באופן עצמאי:

  • קבצי סקריפט VBS ו-VBE
  • קבצי הפעלה כגון EXE, BAT ו-CMD
  • פורמטים מבוססי סקריפטים כולל JS ו-PS1

אימות קבצים מצורפים לפני פתיחתם נותר אחת ההגנות היעילות ביותר מפני קמפיינים של תוכנות זדוניות המנצלות פלטפורמות תקשורת מהימנות.

טוען...