WhatsApp ļaunprogrammatūras kampaņa
Kibernoziedznieki izmanto WhatsApp tiešos ziņojumus, lai izplatītu ļaunprātīgus Visual Basic Script (VBScript) failus, kas galu galā instalē likumīgu attālās uzraudzības un pārvaldības (RMM) programmatūru apdraudētās sistēmās. Kampaņa ir vērsta pret WhatsApp Desktop un WhatsApp Web lietotājiem vairākās valstīs, tostarp Malaizijā, Brazīlijā, Indijā, Meksikā, Singapūrā, Apvienotajā Karalistē, Spānijā, Taivānā, Austrālijā, Krievijā un Vjetnamā. Malaizijā ir reģistrēts vislielākais skarto lietotāju skaits.
Pētnieki tur aizdomās, ka uzbrucēji ieguva neatļautu piekļuvi vairākiem WhatsApp kontiem un pēc tam izmantoja šos kompromitētos profilus, lai nosūtītu ļaunprātīgus failus cilvēkiem viņu kontaktu sarakstos. Tomēr precīza metode, kas izmantota šo kontu nolaupīšanai, joprojām nav zināma.
Satura rādītājs
Slēpti kā biznesa dokumenti
Uzbrucēji paļaujas uz sociālo inženieriju, lai pārliecinātu upurus atvērt ļaunprātīgos failus. VBScript pielikumi ir maskēti kā likumīgi biznesa un finanšu dokumenti, un tajos tiek izmantoti pārliecinoši failu nosaukumi, piemēram, “Financial Reports.vbs” un “Account Statement.vbs”. Lai atbalstītu kampaņas starptautisko tvērumu, daži faili ir pieejami arī tādās valodās kā portugāļu, franču, vācu un malajiešu.
Skripti ir ļoti neskaidri un satur plašus komentārus un metadatus, kas paredzēti, lai atdarinātu autentiskus Microsoft Windows Update komponentus. Daudzi komentāri ir rakstīti ķīniešu valodā un atsaucas uz tādām funkcijām kā:
- Windows atjaunināšanas moduļi
- Sertifikātu validācijas procedūras
- Sistēmas integritātes pārbaudes
- Ar izvietošanu saistītie procesi
Šie elementi ir paredzēti, lai faili izskatītos likumīgi un kavētu drošības analīzi.
Daudzpakāpju inficēšanās ķēde nodrošina attālinātu piekļuvi
Kad ļaunprātīgais VBScript ir izpildīts, izmantojot “WScript.exe”, tas uzsāk daudzpakāpju inficēšanas procesu, lejupielādējot un izpildot papildu VBScript komponentus. Sākotnējā skripta galvenais mērķis ir izgūt divus sekundārus vērtumus no attālā servera. Viens vērtums mēģina manipulēt ar Windows lietotāja konta kontroles (UAC) darbību, bet otrs lejupielādē un palaiž ZIP arhīvu, kurā ir ManageEngine RMM Central instalācijas pakotne.
Veiksmīga likumīgas RMM programmatūras instalēšana piešķir uzbrucējiem attālās piekļuves iespējas, ļaujot viņiem kontrolēt upura sistēmu.
Dažādi izpildes ceļi WhatsApp tīmeklī un datorā
Inficēšanas process atšķiras atkarībā no izmantotās WhatsApp platformas. WhatsApp Web platformā upuriem ir jālejupielādē fails un manuāli jāatver tas no lejupielāžu mapes vai pārlūka vēstures, uzskatot to par īstu dokumentu.
Turpretī WhatsApp Desktop lietojumprogramma ļauj ļaunprogrammatūrai darboties tieši klienta vidē. Procesa analīze liecina, ka lietojumprogrammas fona process “WhatsApp.Root.exe” ir atbildīgs par “WScript.exe” palaišanu, kas pēc tam iniciē ļaunprātīgo ķēdi.
Iespējamā saistība ar iepriekšējām ļaunprogrammatūras darbībām
Lai gan kampaņa nav oficiāli piedēvēta konkrētai apdraudējumu grupai, izmeklētāji ir konstatējuši infrastruktūras pārklāšanos ar iepriekšējām ļaunprātīgām darbībām, kas saistītas ar Gh0st RAT un ValleyRAT ļaunprogrammatūru saimēm. Šīs līdzības liecina, ka operācijai varētu būt kopīgi resursi vai taktika ar iepriekšējām kibernoziedznieku kampaņām.
Būtiski piesardzības pasākumi WhatsApp lietotājiem
Drošības eksperti iesaka lietotājiem būt piesardzīgiem, saņemot negaidītus pielikumus, izmantojot WhatsApp, pat ja ziņojumi šķiet sūtīti no uzticamiem kontaktiem. Šādus failu tipus nekad nedrīkst atvērt, ja vien to likumīgums nav neatkarīgi apstiprināts:
- VBS un VBE skriptu faili
- Izpildāmie faili, piemēram, EXE, BAT un CMD
- Uz skriptiem balstīti formāti, tostarp JS un PS1
Pielikumu pārbaude pirms to atvēršanas joprojām ir viens no efektīvākajiem aizsardzības līdzekļiem pret ļaunprogrammatūras kampaņām, kas izmanto uzticamas saziņas platformas.