WhatsApp-kampanje mot skadelig programvare
Nettkriminelle bruker WhatsApp-direktemeldinger til å distribuere ondsinnede Visual Basic Script (VBScript)-filer som til slutt installerer legitim programvare for fjernovervåking og administrasjon (RMM) på kompromitterte systemer. Kampanjen har rettet seg mot brukere av WhatsApp Desktop og WhatsApp Web i flere land, inkludert Malaysia, Brasil, India, Mexico, Singapore, Storbritannia, Spania, Taiwan, Australia, Russland og Vietnam. Malaysia har registrert det høyeste antallet berørte brukere.
Forskere mistenker at angriperne fikk uautorisert tilgang til flere WhatsApp-kontoer og deretter utnyttet disse kompromitterte profilene til å sende skadelige filer til personer i kontaktlistene deres. Den nøyaktige metoden som ble brukt for å kapre disse kontoene er imidlertid fortsatt ukjent.
Innholdsfortegnelse
Forkledd som forretningsdokumenter
Angriperne bruker sosial manipulering for å overtale ofrene til å åpne de skadelige filene. VBScript-vedleggene er kamuflert som legitime forretnings- og økonomiske dokumenter og bruker overbevisende filnavn som «Financial Reports.vbs» og «Account Statement.vbs». For å støtte kampanjens internasjonale rekkevidde, finnes noen filer også på språk som portugisisk, fransk, tysk og malayisk.
Skriptene er sterkt tilslørt og inneholder omfattende kommentarer og metadata som er utformet for å imitere autentiske Microsoft Windows Update-komponenter. Tallrike kommentarer er skrevet på kinesisk og refererer til funksjoner som:
- Windows Update-moduler
- Prosedyrer for validering av sertifikat
- Systemintegritetskontroller
- Implementeringsrelaterte prosesser
Disse elementene er ment å få filene til å virke legitime og hindre sikkerhetsanalyse.
Flertrinns infeksjonskjede muliggjør fjerntilgang
Når den ondsinnede VBScript-en er kjørt via «WScript.exe», starter den en flertrinns infeksjonsprosess ved å laste ned og kjøre ytterligere VBScript-komponenter. Hovedmålet med det første skriptet er å hente to sekundære nyttelaster fra en ekstern server. Den ene nyttelasten prøver å manipulere Windows User Account Control (UAC), mens den andre laster ned og starter et ZIP-arkiv som inneholder installasjonspakken for ManageEngine RMM Central.
Vellykket installasjon av den legitime RMM-programvaren gir angripere mulighet for ekstern tilgang, slik at de kan kontrollere offerets system.
Ulike utførelsesstier på WhatsApp Web og Desktop
Infeksjonsprosessen varierer avhengig av WhatsApp-plattformen som brukes. På WhatsApp Web må ofrene laste ned filen og åpne den manuelt fra nedlastingsmappen eller nettleserloggen, i den tro at det er et ekte dokument.
WhatsApp Desktop-applikasjonen tillater derimot at skadevaren kjøres direkte i klientmiljøet. Prosessanalyse viser at «WhatsApp.Root.exe», applikasjonens bakgrunnsprosess, er ansvarlig for å starte «WScript.exe», som deretter starter den ondsinnede kjeden.
Mulige forbindelser til tidligere skadelige operasjoner
Selv om kampanjen ikke formelt har blitt tilskrevet en spesifikk trusselgruppe, har etterforskere identifisert infrastrukturoverlappinger med tidligere ondsinnet aktivitet knyttet til skadevarefamiliene Gh0st RAT og ValleyRAT. Disse likhetene tyder på at operasjonen kan dele ressurser eller taktikker med tidligere nettkriminelle kampanjer.
Viktige forholdsregler for WhatsApp-brukere
Sikkerhetseksperter anbefaler brukere å være forsiktige når de mottar uventede vedlegg via WhatsApp, selv om meldingene ser ut til å komme fra pålitelige kontakter. Følgende filtyper bør aldri åpnes med mindre legitimiteten deres er bekreftet uavhengig:
- VBS- og VBE-skriptfiler
- Kjørbare filer som EXE, BAT og CMD
- Skriptbaserte formater, inkludert JS og PS1
Å bekrefte vedlegg før du åpner dem er fortsatt et av de mest effektive forsvarene mot skadevarekampanjer som utnytter pålitelige kommunikasjonsplattformer.