Kempen Perisian Hasad WhatsApp
Penjenayah siber menggunakan mesej langsung WhatsApp untuk mengedarkan fail Visual Basic Script (VBScript) yang berniat jahat yang akhirnya memasang perisian Pemantauan dan Pengurusan Jauh (RMM) yang sah pada sistem yang diceroboh. Kempen ini telah menyasarkan pengguna WhatsApp Desktop dan WhatsApp Web di pelbagai negara, termasuk Malaysia, Brazil, India, Mexico, Singapura, United Kingdom, Sepanyol, Taiwan, Australia, Rusia dan Vietnam. Malaysia telah mencatatkan bilangan pengguna yang terjejas tertinggi.
Para penyelidik mengesyaki bahawa penyerang telah mendapat akses tanpa kebenaran ke beberapa akaun WhatsApp dan kemudian memanfaatkan profil yang diceroboh ini untuk menghantar fail berniat jahat kepada orang dalam senarai kenalan mereka. Walau bagaimanapun, kaedah tepat yang digunakan untuk merampas akaun ini masih tidak diketahui.
Isi kandungan
Menyamar sebagai Dokumen Perniagaan
Penyerang bergantung pada kejuruteraan sosial untuk memujuk mangsa membuka fail berniat jahat. Lampiran VBScript disamarkan sebagai dokumen perniagaan dan kewangan yang sah dan menggunakan nama fail yang meyakinkan seperti 'Financial Reports.vbs' dan 'Account Statement.vbs'. Bagi menyokong jangkauan antarabangsa kempen tersebut, beberapa fail juga muncul dalam bahasa termasuk Portugis, Perancis, Jerman dan Melayu.
Skrip-skrip ini banyak dikaburkan dan mengandungi komen dan metadata yang luas yang direka untuk meniru komponen Kemas Kini Microsoft Windows yang asli. Banyak komen ditulis dalam bahasa Cina dan fungsi rujukan seperti:
- Modul Kemas Kini Windows
- Prosedur pengesahan sijil
- Pemeriksaan integriti sistem
- Proses berkaitan pelaksanaan
Elemen-elemen ini bertujuan untuk menjadikan fail kelihatan sah dan menghalang analisis keselamatan.
Rantaian Jangkitan Berbilang Peringkat Membolehkan Akses Jauh
Sebaik sahaja dilaksanakan melalui 'WScript.exe,' VBScript yang berniat jahat akan memulakan proses jangkitan berbilang peringkat dengan memuat turun dan melaksanakan komponen VBScript tambahan. Objektif utama skrip awal adalah untuk mendapatkan dua muatan sekunder daripada pelayan jauh. Satu muatan cuba memanipulasi tingkah laku Kawalan Akaun Pengguna Windows (UAC), manakala muatan yang satu lagi memuat turun dan melancarkan arkib ZIP yang mengandungi pakej pemasangan untuk ManageEngine RMM Central.
Kejayaan pemasangan perisian RMM yang sah memberikan penyerang keupayaan akses jauh, membolehkan mereka mengawal sistem mangsa.
Laluan Pelaksanaan Berbeza di WhatsApp Web dan Desktop
Proses jangkitan berbeza bergantung pada platform WhatsApp yang digunakan. Di WhatsApp Web, mangsa dikehendaki memuat turun fail dan membukanya secara manual daripada folder muat turun atau sejarah pelayar, dengan mempercayai ia sebagai dokumen yang tulen.
Sebaliknya, aplikasi WhatsApp Desktop membenarkan perisian hasad dilaksanakan secara langsung dalam persekitaran klien. Analisis proses menunjukkan bahawa 'WhatsApp.Root.exe,' proses latar belakang aplikasi, bertanggungjawab melancarkan 'WScript.exe,' yang kemudiannya memulakan rantaian berniat jahat.
Kemungkinan Sambungan ke Operasi Perisian Hasad Terdahulu
Walaupun kempen tersebut belum secara rasmi dikaitkan dengan kumpulan ancaman tertentu, penyiasat telah mengenal pasti pertindihan infrastruktur dengan aktiviti berniat jahat sebelumnya yang berkaitan dengan keluarga perisian hasad Gh0st RAT dan ValleyRAT. Persamaan ini menunjukkan bahawa operasi tersebut mungkin berkongsi sumber atau taktik dengan kempen penjenayah siber sebelumnya.
Langkah Berjaga-jaga Penting untuk Pengguna WhatsApp
Pakar keselamatan menasihatkan pengguna supaya berhati-hati apabila menerima lampiran yang tidak dijangka melalui WhatsApp, walaupun mesej tersebut kelihatan datang daripada kenalan yang dipercayai. Jenis fail berikut tidak boleh dibuka melainkan kesahihannya telah disahkan secara bebas:
- Fail skrip VBS dan VBE
- Fail boleh laku seperti EXE, BAT dan CMD
- Format berasaskan skrip termasuk JS dan PS1
Mengesahkan lampiran sebelum membukanya kekal sebagai salah satu pertahanan paling berkesan terhadap kempen perisian hasad yang mengeksploitasi platform komunikasi yang dipercayai.