Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware WhatsApp kártevő kampány

WhatsApp kártevő kampány

Mezo -ra Malware-ben
Fordítás ide:

A kiberbűnözők WhatsApp közvetlen üzeneteket használnak rosszindulatú Visual Basic Script (VBScript) fájlok terjesztésére, amelyek végső soron legitim távoli felügyeleti és kezelési (RMM) szoftvert telepítenek a feltört rendszerekre. A kampány a WhatsApp Desktop és a WhatsApp Web felhasználóit célozta meg több országban, többek között Malajziában, Brazíliában, Indiában, Mexikóban, Szingapúrban, az Egyesült Királyságban, Spanyolországban, Tajvanon, Ausztráliában, Oroszországban és Vietnamban. Malajziában jegyezték fel a legtöbb érintett felhasználót.

A kutatók gyanítják, hogy a támadók jogosulatlanul hozzáfértek több WhatsApp-fiókhoz, majd ezeket a feltört profilokat kihasználva kártékony fájlokat küldtek a névjegyzékükben szereplő személyeknek. A fiókok feltörésének pontos módszere azonban továbbra sem ismert.

Üzleti dokumentumoknak álcázva

A támadók társadalmi manipulációra támaszkodnak, hogy rávegyék az áldozatokat a rosszindulatú fájlok megnyitására. A VBScript mellékletek legitim üzleti és pénzügyi dokumentumoknak vannak álcázva, és meggyőző fájlneveket használnak, például „Pénzügyi jelentések.vbs” és „Számlakivonat.vbs”. A kampány nemzetközi elérésének támogatása érdekében egyes fájlok portugál, francia, német és maláj nyelven is megjelennek.

A szkriptek erősen obfuszkáltak, és kiterjedt megjegyzéseket és metaadatokat tartalmaznak, amelyek célja az eredeti Microsoft Windows Update összetevők utánzása. Számos megjegyzés kínai nyelven íródott, és olyan függvényekre hivatkozik, mint például:

  • Windows Update modulok
  • Tanúsítványérvényesítési eljárások
  • Rendszerintegritási ellenőrzések
  • Telepítéssel kapcsolatos folyamatok

Ezek az elemek arra szolgálnak, hogy a fájlok legitimnek tűnjenek, és akadályozzák a biztonsági elemzést.

A többlépcsős fertőzési lánc lehetővé teszi a távoli hozzáférést

Miután a „WScript.exe”-en keresztül végrehajtódik, a rosszindulatú VBScript egy többlépcsős fertőzési folyamatot indít el további VBScript-összetevők letöltésével és végrehajtásával. A kezdeti szkript elsődleges célja két másodlagos hasznos adat letöltése egy távoli szerverről. Az egyik hasznos adat a Windows felhasználói fiókok felügyeletének (UAC) viselkedését próbálja manipulálni, míg a másik letölti és elindítja a ManageEngine RMM Central telepítőcsomagját tartalmazó ZIP archívumot.

A legitim RMM szoftver sikeres telepítése távoli hozzáférési képességeket biztosít a támadóknak, lehetővé téve számukra az áldozat rendszerének irányítását.

Különböző végrehajtási útvonalak a WhatsApp webes és asztali verziójában

A fertőzés folyamata a használt WhatsApp platformtól függően változik. A WhatsApp Weben az áldozatoknak le kell tölteniük a fájlt, és manuálisan kell megnyitniuk a letöltések mappájából vagy a böngészési előzményekből, azt gondolva, hogy valódi dokumentum.

Ezzel szemben a WhatsApp Desktop alkalmazás lehetővé teszi a rosszindulatú program közvetlen futtatását a klienskörnyezetben. A folyamatelemzés azt mutatja, hogy a „WhatsApp.Root.exe”, az alkalmazás háttérfolyamata felelős a „WScript.exe” elindításáért, amely ezután elindítja a rosszindulatú láncolatot.

Lehetséges kapcsolatok korábbi rosszindulatú műveletekhez

Bár a kampányt hivatalosan nem tulajdonították egyetlen konkrét fenyegetéscsoportnak sem, a nyomozók infrastrukturális átfedéseket azonosítottak a Gh0st RAT és a ValleyRAT kártevőcsaládokhoz kapcsolódó korábbi rosszindulatú tevékenységekkel. Ezek a hasonlóságok arra utalnak, hogy a művelet erőforrásokat vagy taktikákat oszthat meg a korábbi kiberbűnözői kampányokkal.

Alapvető óvintézkedések a WhatsApp felhasználók számára

A biztonsági szakértők azt tanácsolják a felhasználóknak, hogy legyenek óvatosak, amikor váratlan mellékleteket kapnak a WhatsAppon keresztül, még akkor is, ha az üzenetek megbízható kapcsolatoktól érkeznek. A következő fájltípusokat soha ne nyissák meg, kivéve, ha azok hitelességét függetlenül megerősítették:

  • VBS és VBE szkriptfájlok
  • Végrehajtható fájlok, például EXE, BAT és CMD
  • Szkriptalapú formátumok, beleértve a JS-t és a PS1-et

A mellékletek megnyitás előtti ellenőrzése továbbra is az egyik leghatékonyabb védekezési mód a megbízható kommunikációs platformokat kihasználó rosszindulatú programkampányok ellen.

Betöltés...