व्हाट्सएप मैलवेयर अभियान

साइबर अपराधी व्हाट्सएप डायरेक्ट मैसेज का इस्तेमाल करके दुर्भावनापूर्ण विजुअल बेसिक स्क्रिप्ट (VBScript) फाइलें वितरित कर रहे हैं, जो अंततः प्रभावित सिस्टमों पर वैध रिमोट मॉनिटरिंग एंड मैनेजमेंट (RMM) सॉफ्टवेयर स्थापित कर देती हैं। इस अभियान ने मलेशिया, ब्राजील, भारत, मैक्सिको, सिंगापुर, यूनाइटेड किंगडम, स्पेन, ताइवान, ऑस्ट्रेलिया, रूस और वियतनाम सहित कई देशों में व्हाट्सएप डेस्कटॉप और व्हाट्सएप वेब उपयोगकर्ताओं को निशाना बनाया है। मलेशिया में सबसे अधिक प्रभावित उपयोगकर्ता दर्ज किए गए हैं।

शोधकर्ताओं को संदेह है कि हमलावरों ने कई व्हाट्सएप खातों तक अनधिकृत पहुंच प्राप्त की और फिर इन हैक किए गए प्रोफाइलों का उपयोग करके उनकी संपर्क सूची में मौजूद लोगों को दुर्भावनापूर्ण फाइलें भेजीं। हालांकि, इन खातों को हैक करने के लिए इस्तेमाल की गई सटीक विधि अभी तक अज्ञात है।

व्यापारिक दस्तावेजों के रूप में प्रच्छन्न

हमलावर पीड़ितों को दुर्भावनापूर्ण फ़ाइलें खोलने के लिए राजी करने के लिए सोशल इंजीनियरिंग का सहारा लेते हैं। VBScript अटैचमेंट को वैध व्यावसायिक और वित्तीय दस्तावेज़ों के रूप में प्रस्तुत किया जाता है और 'Financial Reports.vbs' और 'Account Statement.vbs' जैसे विश्वसनीय फ़ाइलनामों का उपयोग किया जाता है। अभियान की अंतर्राष्ट्रीय पहुँच को बढ़ावा देने के लिए, कुछ फ़ाइलें पुर्तगाली, फ्रेंच, जर्मन और मलय सहित अन्य भाषाओं में भी उपलब्ध हैं।

स्क्रिप्ट को अत्यधिक अस्पष्ट बनाया गया है और इसमें व्यापक टिप्पणियाँ और मेटाडेटा शामिल हैं जो प्रामाणिक माइक्रोसॉफ्ट विंडोज अपडेट घटकों की नकल करने के लिए डिज़ाइन किए गए हैं। कई टिप्पणियाँ चीनी भाषा में लिखी गई हैं और इनमें निम्नलिखित कार्यों का संदर्भ दिया गया है:

• विंडोज अपडेट मॉड्यूल
• प्रमाणपत्र सत्यापन प्रक्रियाएँ
• सिस्टम अखंडता जांच
• तैनाती संबंधी प्रक्रियाएँ

इन तत्वों का उद्देश्य फाइलों को वैध दिखाना और सुरक्षा विश्लेषण में बाधा डालना है।

बहु-चरणीय संक्रमण श्रृंखला दूरस्थ पहुंच को सक्षम बनाती है

'WScript.exe' के माध्यम से निष्पादित होने पर, दुर्भावनापूर्ण VBScript अतिरिक्त VBScript घटकों को डाउनलोड और निष्पादित करके एक बहु-चरणीय संक्रमण प्रक्रिया शुरू करता है। प्रारंभिक स्क्रिप्ट का प्राथमिक उद्देश्य एक रिमोट सर्वर से दो द्वितीयक पेलोड प्राप्त करना है। एक पेलोड विंडोज यूजर अकाउंट कंट्रोल (UAC) के व्यवहार में हेरफेर करने का प्रयास करता है, जबकि दूसरा ManageEngine RMM Central के लिए इंस्टॉलेशन पैकेज युक्त ZIP आर्काइव को डाउनलोड और लॉन्च करता है।

वैध आरएमएम सॉफ्टवेयर की सफल स्थापना हमलावरों को दूरस्थ पहुंच की क्षमता प्रदान करती है, जिससे वे पीड़ित के सिस्टम को नियंत्रित करने में सक्षम हो जाते हैं।

WhatsApp वेब और डेस्कटॉप पर अलग-अलग निष्पादन पथ

संक्रमण की प्रक्रिया इस्तेमाल किए जा रहे व्हाट्सएप प्लेटफॉर्म के आधार पर अलग-अलग होती है। व्हाट्सएप वेब पर, पीड़ितों को फाइल डाउनलोड करनी होती है और उसे डाउनलोड फोल्डर या ब्राउज़र हिस्ट्री से मैन्युअल रूप से खोलना होता है, यह मानते हुए कि यह एक असली दस्तावेज़ है।

इसके विपरीत, व्हाट्सएप डेस्कटॉप एप्लिकेशन मैलवेयर को सीधे क्लाइंट वातावरण में निष्पादित करने की अनुमति देता है। प्रक्रिया विश्लेषण से पता चलता है कि एप्लिकेशन की पृष्ठभूमि प्रक्रिया 'WhatsApp.Root.exe' 'WScript.exe' को लॉन्च करने के लिए जिम्मेदार है, जो फिर दुर्भावनापूर्ण श्रृंखला को शुरू करता है।

पहले के मैलवेयर हमलों से संभावित संबंध

हालांकि इस अभियान को किसी विशिष्ट खतरे वाले समूह से औपचारिक रूप से नहीं जोड़ा गया है, लेकिन जांचकर्ताओं ने Gh0st RAT और ValleyRAT मैलवेयर परिवारों से जुड़ी पिछली दुर्भावनापूर्ण गतिविधियों के साथ बुनियादी ढांचे की समानता पाई है। ये समानताएं बताती हैं कि यह ऑपरेशन पहले के साइबर आपराधिक अभियानों के साथ संसाधनों या रणनीतियों को साझा कर सकता है।

व्हाट्सएप उपयोगकर्ताओं के लिए आवश्यक सावधानियां

सुरक्षा विशेषज्ञ उपयोगकर्ताओं को सलाह देते हैं कि WhatsApp के माध्यम से अप्रत्याशित अटैचमेंट प्राप्त होने पर सतर्क रहें, भले ही संदेश विश्वसनीय संपर्कों से आए प्रतीत हों। निम्नलिखित फ़ाइल प्रकारों को तब तक कभी नहीं खोलना चाहिए जब तक कि उनकी वैधता की स्वतंत्र रूप से पुष्टि न हो जाए:

• VBS और VBE स्क्रिप्ट फ़ाइलें
• EXE, BAT और CMD जैसी निष्पादन योग्य फ़ाइलें
• जेएस और पीएस1 सहित स्क्रिप्ट-आधारित प्रारूप

विश्वसनीय संचार प्लेटफार्मों का फायदा उठाने वाले मैलवेयर हमलों के खिलाफ सबसे प्रभावी सुरक्षा उपायों में से एक है अटैचमेंट को खोलने से पहले उनकी पुष्टि करना।