WhatsApp kampanja protiv zlonamjernog softvera
Kibernetički kriminalci koriste izravne WhatsApp poruke za distribuciju zlonamjernih Visual Basic Script (VBScript) datoteka koje u konačnici instaliraju legitimni softver za daljinsko praćenje i upravljanje (RMM) na kompromitirane sustave. Kampanja je usmjerena na korisnike WhatsApp Desktopa i WhatsApp Weba u više zemalja, uključujući Maleziju, Brazil, Indiju, Meksiko, Singapur, Ujedinjeno Kraljevstvo, Španjolsku, Tajvan, Australiju, Rusiju i Vijetnam. Malezija je zabilježila najveći broj pogođenih korisnika.
Istraživači sumnjaju da su napadači dobili neovlašteni pristup nekoliko WhatsApp računa, a zatim iskoristili te kompromitirane profile za slanje zlonamjernih datoteka ljudima na njihovim popisima kontakata. Međutim, točna metoda korištena za otmicu ovih računa ostaje nepoznata.
Sadržaj
Prikriveno kao poslovni dokumenti
Napadači se oslanjaju na društveni inženjering kako bi nagovorili žrtve da otvore zlonamjerne datoteke. VBScript privitci su prikriveni kao legitimni poslovni i financijski dokumenti te koriste uvjerljive nazive datoteka poput 'Financial Reports.vbs' i 'Account Statement.vbs'. Kako bi se podržao međunarodni doseg kampanje, neke se datoteke pojavljuju i na jezicima, uključujući portugalski, francuski, njemački i malajski.
Skripte su jako zamaskirane i sadrže opsežne komentare i metapodatke osmišljene da imitiraju autentične komponente Microsoft Windows Updatea. Brojni komentari napisani su na kineskom i upućuju na funkcije kao što su:
- Moduli za Windows Update
- Postupci validacije certifikata
- Provjere integriteta sustava
- Procesi povezani s implementacijom
Ovi elementi imaju za cilj prikazati datoteke kao legitimne i ometati sigurnosnu analizu.
Višestupanjski lanac infekcije omogućuje udaljeni pristup
Nakon što se izvrši putem 'WScript.exe', zlonamjerni VBScript pokreće višefazni proces zaraze preuzimanjem i izvršavanjem dodatnih VBScript komponenti. Primarni cilj početnog skripta je dohvatiti dva sekundarna sadržaja s udaljenog poslužitelja. Jedan sadržaj pokušava manipulirati ponašanjem Kontrole korisničkih računa sustava Windows (UAC), dok drugi preuzima i pokreće ZIP arhivu koja sadrži instalacijski paket za ManageEngine RMM Central.
Uspješna instalacija legitimnog RMM softvera daje napadačima mogućnosti udaljenog pristupa, što im omogućuje kontrolu nad sustavom žrtve.
Različiti načini izvršavanja na WhatsApp Webu i računalu
Proces zaraze razlikuje se ovisno o korištenoj WhatsApp platformi. Na WhatsApp Webu, žrtve moraju preuzeti datoteku i ručno je otvoriti iz mape preuzimanja ili povijesti preglednika, vjerujući da je riječ o autentičnom dokumentu.
Nasuprot tome, aplikacija WhatsApp Desktop omogućuje zlonamjernom softveru izravno izvršavanje unutar klijentskog okruženja. Analiza procesa pokazuje da je 'WhatsApp.Root.exe', pozadinski proces aplikacije, odgovoran za pokretanje 'WScript.exe', koji zatim pokreće zlonamjerni lanac.
Moguće veze s ranijim operacijama zlonamjernog softvera
Iako kampanja nije formalno pripisana određenoj skupini prijetnji, istražitelji su identificirali preklapanja infrastrukture s prethodnim zlonamjernim aktivnostima povezanim s obiteljima zlonamjernih programa Gh0st RAT i ValleyRAT. Ove sličnosti sugeriraju da operacija može dijeliti resurse ili taktike s ranijim kampanjama kibernetičkog kriminala.
Osnovne mjere opreza za korisnike WhatsAppa
Sigurnosni stručnjaci savjetuju korisnicima da budu oprezni prilikom primanja neočekivanih privitaka putem WhatsAppa, čak i ako se čini da poruke dolaze od pouzdanih kontakata. Sljedeće vrste datoteka nikada se ne smiju otvarati osim ako njihova legitimnost nije neovisno potvrđena:
- VBS i VBE skriptne datoteke
- Izvršne datoteke kao što su EXE, BAT i CMD
- Formati temeljeni na skriptama, uključujući JS i PS1
Provjera privitaka prije otvaranja ostaje jedna od najučinkovitijih obrana od zlonamjernih kampanja koje iskorištavaju pouzdane komunikacijske platforme.