Preventivo sconto multi-licenza
Database delle minacce Malware Campagna di malware su WhatsApp

Campagna di malware su WhatsApp

Entro Mezo nel Malware
Traduci in:

I criminali informatici stanno utilizzando i messaggi diretti di WhatsApp per distribuire file dannosi in Visual Basic Script (VBScript) che, in ultima analisi, installano software legittimi di monitoraggio e gestione remota (RMM) sui sistemi compromessi. La campagna ha preso di mira gli utenti di WhatsApp Desktop e WhatsApp Web in diversi paesi, tra cui Malesia, Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia e Vietnam. La Malesia ha registrato il maggior numero di utenti colpiti.

I ricercatori sospettano che gli hacker abbiano ottenuto l'accesso non autorizzato a diversi account WhatsApp e abbiano poi sfruttato questi profili compromessi per inviare file dannosi alle persone presenti nelle loro liste di contatti. Tuttavia, il metodo esatto utilizzato per violare questi account rimane sconosciuto.

Mascherati da documenti aziendali

Gli aggressori si affidano all'ingegneria sociale per convincere le vittime ad aprire i file dannosi. Gli allegati in VBScript sono camuffati da documenti aziendali e finanziari legittimi e utilizzano nomi di file convincenti come "Financial Reports.vbs" e "Account Statement.vbs". Per supportare la portata internazionale della campagna, alcuni file appaiono anche in lingue come portoghese, francese, tedesco e malese.

Gli script sono fortemente offuscati e contengono numerosi commenti e metadati progettati per imitare i componenti autentici di Microsoft Windows Update. Numerosi commenti sono scritti in cinese e fanno riferimento a funzioni quali:

  • Moduli di aggiornamento di Windows
  • Procedure di convalida del certificato
  • Controlli di integrità del sistema
  • Processi correlati all'implementazione

Questi elementi hanno lo scopo di far apparire i file legittimi e di ostacolare l'analisi di sicurezza.

La catena di infezione a più fasi consente l’accesso remoto

Una volta eseguito tramite 'WScript.exe', il dannoso script VBScript avvia un processo di infezione a più fasi scaricando ed eseguendo ulteriori componenti VBScript. L'obiettivo principale dello script iniziale è quello di recuperare due payload secondari da un server remoto. Un payload tenta di manipolare il comportamento del Controllo account utente (UAC) di Windows, mentre l'altro scarica ed esegue un archivio ZIP contenente il pacchetto di installazione di ManageEngine RMM Central.

L'installazione, se eseguita correttamente, di un software RMM legittimo concede agli aggressori la possibilità di accedere da remoto, permettendo loro di controllare il sistema della vittima.

Percorsi di esecuzione differenti su WhatsApp Web e Desktop

La procedura di infezione varia a seconda della piattaforma WhatsApp utilizzata. Su WhatsApp Web, le vittime devono scaricare il file e aprirlo manualmente dalla cartella dei download o dalla cronologia del browser, credendo che si tratti di un documento legittimo.

Al contrario, l'applicazione WhatsApp Desktop consente al malware di essere eseguito direttamente nell'ambiente client. L'analisi dei processi mostra che 'WhatsApp.Root.exe', il processo in background dell'applicazione, è responsabile dell'avvio di 'WScript.exe', che a sua volta avvia la catena di eventi dannosi.

Possibili collegamenti con precedenti operazioni malware

Sebbene la campagna non sia stata formalmente attribuita a uno specifico gruppo di hacker, gli investigatori hanno identificato delle sovrapposizioni infrastrutturali con precedenti attività dannose associate alle famiglie di malware Gh0st RAT e ValleyRAT. Queste somiglianze suggeriscono che l'operazione potrebbe condividere risorse o tattiche con precedenti campagne di criminali informatici.

Precauzioni essenziali per gli utenti di WhatsApp

Gli esperti di sicurezza consigliano agli utenti di prestare attenzione quando ricevono allegati inaspettati tramite WhatsApp, anche se i messaggi sembrano provenire da contatti fidati. I seguenti tipi di file non dovrebbero mai essere aperti a meno che la loro legittimità non sia stata verificata in modo indipendente:

  • File di script VBS e VBE
  • File eseguibili come EXE, BAT e CMD
  • Formati basati su script, inclusi JS e PS1

Verificare gli allegati prima di aprirli rimane una delle difese più efficaci contro le campagne malware che sfruttano piattaforme di comunicazione affidabili.

I più visti

Caricamento in corso...