व्हाट्सएप मालवेयर अभियान

साइबर अपराधीहरूले व्हाट्सएप प्रत्यक्ष सन्देशहरू प्रयोग गरेर दुर्भावनापूर्ण भिजुअल बेसिक स्क्रिप्ट (VBScript) फाइलहरू वितरण गरिरहेका छन् जसले अन्ततः सम्झौता गरिएका प्रणालीहरूमा वैध रिमोट मोनिटरिङ एण्ड म्यानेजमेन्ट (RMM) सफ्टवेयर स्थापना गर्दछ। यो अभियानले मलेसिया, ब्राजिल, भारत, मेक्सिको, सिंगापुर, संयुक्त अधिराज्य, स्पेन, ताइवान, अष्ट्रेलिया, रूस र भियतनाम लगायत धेरै देशहरूमा व्हाट्सएप डेस्कटप र व्हाट्सएप वेबका प्रयोगकर्ताहरूलाई लक्षित गरेको छ। मलेसियाले प्रभावित प्रयोगकर्ताहरूको सबैभन्दा धेरै संख्या रेकर्ड गरेको छ।

अनुसन्धानकर्ताहरूले आक्रमणकारीहरूले धेरै व्हाट्सएप खाताहरूमा अनधिकृत पहुँच प्राप्त गरेको र त्यसपछि यी ह्याक गरिएका प्रोफाइलहरूलाई उनीहरूको सम्पर्क सूचीमा रहेका मानिसहरूलाई दुर्भावनापूर्ण फाइलहरू पठाउन प्रयोग गरेको शंका गरेका छन्। यद्यपि, यी खाताहरू अपहरण गर्न प्रयोग गरिएको सही विधि अज्ञात छ।

व्यावसायिक कागजातको रूपमा भेषमा

आक्रमणकारीहरूले पीडितहरूलाई दुर्भावनापूर्ण फाइलहरू खोल्न मनाउन सामाजिक इन्जिनियरिङमा भर पर्छन्। VBScript संलग्नकहरू वैध व्यापार र वित्तीय कागजातहरूको रूपमा भेषमा राखिएका हुन्छन् र 'Financial Reports.vbs' र 'Account Statement.vbs' जस्ता विश्वसनीय फाइल नामहरू प्रयोग गर्छन्। अभियानको अन्तर्राष्ट्रिय पहुँचलाई समर्थन गर्न, केही फाइलहरू पोर्चुगिज, फ्रान्सेली, जर्मन र मलाय लगायत भाषाहरूमा पनि देखा पर्छन्।

स्क्रिप्टहरू धेरै अस्पष्ट छन् र यसमा प्रामाणिक माइक्रोसफ्ट विन्डोज अपडेट कम्पोनेन्टहरूको नक्कल गर्न डिजाइन गरिएको व्यापक टिप्पणीहरू र मेटाडेटा छन्। धेरै टिप्पणीहरू चिनियाँ भाषामा लेखिएका छन् र सन्दर्भ प्रकार्यहरू जस्तै:

• विन्डोज अपडेट मोड्युलहरू
• प्रमाणपत्र प्रमाणीकरण प्रक्रियाहरू
• प्रणाली अखण्डता जाँचहरू
• तैनाती-सम्बन्धित प्रक्रियाहरू

यी तत्वहरू फाइलहरूलाई वैध देखाउन र सुरक्षा विश्लेषणमा बाधा पुर्‍याउनको लागि हुन्।

बहु-चरण संक्रमण श्रृंखलाले टाढाको पहुँच सक्षम बनाउँछ

'WScript.exe' मार्फत कार्यान्वयन गरिसकेपछि, दुर्भावनापूर्ण VBScript ले थप VBScript कम्पोनेन्टहरू डाउनलोड र कार्यान्वयन गरेर बहु-चरण संक्रमण प्रक्रिया सुरु गर्दछ। प्रारम्भिक स्क्रिप्टको प्राथमिक उद्देश्य रिमोट सर्भरबाट दुई माध्यमिक पेलोडहरू पुन: प्राप्त गर्नु हो। एउटा पेलोडले Windows प्रयोगकर्ता खाता नियन्त्रण (UAC) व्यवहारलाई हेरफेर गर्ने प्रयास गर्दछ, जबकि अर्कोले ManageEngine RMM Central को लागि स्थापना प्याकेज भएको ZIP अभिलेख डाउनलोड र सुरुवात गर्दछ।

वैध RMM सफ्टवेयरको सफल स्थापनाले आक्रमणकारीहरूलाई टाढाको पहुँच क्षमताहरू प्रदान गर्दछ, जसले गर्दा उनीहरू पीडितको प्रणाली नियन्त्रण गर्न सक्षम हुन्छन्।

व्हाट्सएप वेब र डेस्कटपमा फरक-फरक कार्यान्वयन मार्गहरू

प्रयोग भइरहेको व्हाट्सएप प्लेटफर्मको आधारमा संक्रमण प्रक्रिया फरक हुन्छ। व्हाट्सएप वेबमा, पीडितहरूले फाइल डाउनलोड गर्नुपर्नेछ र डाउनलोड फोल्डर वा ब्राउजर इतिहासबाट म्यानुअल रूपमा खोल्नुपर्नेछ, यसलाई वास्तविक कागजात हो भन्ने विश्वास गर्दै।

यसको विपरित, व्हाट्सएप डेस्कटप एप्लिकेसनले मालवेयरलाई क्लाइन्ट वातावरण भित्र सिधै कार्यान्वयन गर्न अनुमति दिन्छ। प्रक्रिया विश्लेषणले देखाउँछ कि 'WhatsApp.Root.exe', अनुप्रयोगको पृष्ठभूमि प्रक्रिया, 'WScript.exe' सुरु गर्न जिम्मेवार छ, जसले त्यसपछि मालिसियस चेन सुरु गर्दछ।

पहिलेका मालवेयर सञ्चालनहरूमा सम्भावित जडानहरू

यद्यपि अभियानलाई औपचारिक रूपमा कुनै विशेष खतरा समूहलाई जिम्मेवार ठहराइएको छैन, अनुसन्धानकर्ताहरूले Gh0st RAT र ValleyRAT मालवेयर परिवारहरूसँग सम्बन्धित पहिलेको दुर्भावनापूर्ण गतिविधिसँग पूर्वाधार ओभरल्यापहरू पहिचान गरेका छन्। यी समानताहरूले सुझाव दिन्छ कि अपरेशनले पहिलेका साइबर आपराधिक अभियानहरूसँग स्रोतहरू वा रणनीतिहरू साझा गर्न सक्छ।

व्हाट्सएप प्रयोगकर्ताहरूका लागि आवश्यक सावधानीहरू

सुरक्षा विज्ञहरूले प्रयोगकर्ताहरूलाई व्हाट्सएप मार्फत अप्रत्याशित संलग्नकहरू प्राप्त गर्दा सावधान रहन सल्लाह दिन्छन्, यदि सन्देशहरू विश्वसनीय सम्पर्कहरूबाट आएका जस्तो देखिन्छ भने पनि। निम्न फाइल प्रकारहरू स्वतन्त्र रूपमा पुष्टि नभएसम्म कहिल्यै खोल्नु हुँदैन:

• VBS र VBE स्क्रिप्ट फाइलहरू
• EXE, BAT, र CMD जस्ता कार्यान्वयनयोग्य फाइलहरू
• JS र PS1 सहित स्क्रिप्ट-आधारित ढाँचाहरू

विश्वसनीय सञ्चार प्लेटफर्महरूको शोषण गर्ने मालवेयर अभियानहरू विरुद्ध संलग्नकहरू खोल्नु अघि प्रमाणित गर्नु सबैभन्दा प्रभावकारी सुरक्षा उपायहरू मध्ये एक हो।