„WhatsApp“ kenkėjiškų programų kampanija
Kibernetiniai nusikaltėliai naudoja „WhatsApp“ tiesiogines žinutes, kad platintų kenkėjiškus „Visual Basic Script“ (VBScript) failus, kurie galiausiai įdiegia teisėtą nuotolinio stebėjimo ir valdymo (RMM) programinę įrangą pažeistose sistemose. Kampanija buvo nukreipta į „WhatsApp Desktop“ ir „WhatsApp Web“ naudotojus keliose šalyse, įskaitant Malaiziją, Braziliją, Indiją, Meksiką, Singapūrą, Jungtinę Karalystę, Ispaniją, Taivaną, Australiją, Rusiją ir Vietnamą. Malaizijoje užregistruotas didžiausias paveiktų naudotojų skaičius.
Tyrėjai įtaria, kad užpuolikai neteisėtai prisijungė prie kelių „WhatsApp“ paskyrų ir pasinaudojo šiais pažeistais profiliais, kad išsiųstų kenkėjiškus failus žmonėms iš jų kontaktų sąrašų. Tačiau tikslus šių paskyrų užgrobimo būdas nežinomas.
Turinys
Užmaskuoti kaip verslo dokumentai
Užpuolikai pasitelkia socialinę inžineriją, kad įtikintų aukas atidaryti kenkėjiškus failus. VBScript priedai yra užmaskuoti kaip teisėti verslo ir finansiniai dokumentai ir juose naudojami įtikinami failų pavadinimai, tokie kaip „Financial Reports.vbs“ ir „Account Statement.vbs“. Siekiant sustiprinti kampanijos tarptautinį pasiekiamumą, kai kurie failai taip pat pateikiami portugalų, prancūzų, vokiečių ir malajų kalbomis.
Scenarijai yra labai užmaskuoti ir juose yra daug komentarų bei metaduomenų, skirtų imituoti autentiškus „Microsoft Windows Update“ komponentus. Daugybė komentarų parašyta kinų kalba ir nurodo tokias funkcijas kaip:
- „Windows Update“ moduliai
- Sertifikatų patvirtinimo procedūros
- Sistemos vientisumo patikrinimai
- Su diegimu susiję procesai
Šie elementai skirti tam, kad failai atrodytų teisėti ir trukdytų saugumo analizei.
Daugiapakopė užkrėtimo grandinė leidžia nuotolinę prieigą
Paleidus kenkėjišką VBScript failą per „WScript.exe“, jis inicijuoja daugiapakopį užkrėtimo procesą, atsisiųsdamas ir vykdydamas papildomus VBScript komponentus. Pagrindinis pradinio scenarijaus tikslas – gauti du antrinius paketus iš nuotolinio serverio. Vienas paketas bando manipuliuoti „Windows“ vartotojo abonemento valdymo (UAC) veikimu, o kitas atsisiunčia ir paleidžia ZIP archyvą, kuriame yra „ManageEngine RMM Central“ diegimo paketas.
Sėkmingai įdiegus legalią RMM programinę įrangą, užpuolikai gauna nuotolinės prieigos galimybes, leidžiančias jiems valdyti aukos sistemą.
Skirtingi vykdymo keliai „WhatsApp Web“ ir darbalaukyje
Užkrėtimo procesas skiriasi priklausomai nuo naudojamos „WhatsApp“ platformos. „WhatsApp Web“ aukos turi atsisiųsti failą ir rankiniu būdu jį atidaryti iš atsisiuntimų aplanko arba naršyklės istorijos, manydamos, kad tai tikras dokumentas.
Tuo tarpu „WhatsApp Desktop“ programa leidžia kenkėjiškai programai veikti tiesiogiai kliento aplinkoje. Proceso analizė rodo, kad programos foninis procesas „WhatsApp.Root.exe“ yra atsakingas už „WScript.exe“ paleidimą, kuris inicijuoja kenkėjišką grandinę.
Galimi ryšiai su ankstesnėmis kenkėjiškų programų operacijomis
Nors kampanija nebuvo oficialiai priskirta konkrečiai grėsmių grupei, tyrėjai nustatė infrastruktūros sutapimų su ankstesne kenkėjiška veikla, susijusia su „Gh0st RAT“ ir „ValleyRAT“ kenkėjiškų programų šeimomis. Šie panašumai rodo, kad operacija gali dalytis ištekliais ar taktika su ankstesnėmis kibernetinių nusikaltėlių kampanijomis.
Svarbios atsargumo priemonės „WhatsApp“ vartotojams
Saugumo ekspertai pataria vartotojams būti atsargiems gaunant netikėtus priedus per „WhatsApp“, net jei atrodo, kad pranešimai gauti iš patikimų kontaktų. Šių tipų failų niekada nereikėtų atidaryti, nebent jų teisėtumas būtų nepriklausomai patvirtintas:
- VBS ir VBE scenarijų failai
- Vykdomieji failai, tokie kaip EXE, BAT ir CMD
- Scenarijų pagrindu sukurti formatai, įskaitant JS ir PS1
Priedų patikrinimas prieš juos atidarant išlieka viena veiksmingiausių apsaugos nuo kenkėjiškų programų kampanijų, kurios išnaudoja patikimas komunikacijos platformas, priemonių.