WhatsApp-malwarecampagne
Cybercriminelen gebruiken WhatsApp-berichten om kwaadaardige Visual Basic Script (VBScript)-bestanden te verspreiden. Deze bestanden installeren uiteindelijk legitieme software voor beheer op afstand (RMM) op geïnfecteerde systemen. De campagne is gericht op gebruikers van WhatsApp Desktop en WhatsApp Web in meerdere landen, waaronder Maleisië, Brazilië, India, Mexico, Singapore, het Verenigd Koninkrijk, Spanje, Taiwan, Australië, Rusland en Vietnam. Maleisië heeft het hoogste aantal getroffen gebruikers.
Onderzoekers vermoeden dat de aanvallers ongeautoriseerde toegang hebben verkregen tot verschillende WhatsApp-accounts en deze vervolgens hebben gebruikt om schadelijke bestanden naar mensen in hun contactenlijst te sturen. De precieze methode die is gebruikt om deze accounts te kapen, is echter nog onbekend.
Inhoudsopgave
Vermomd als zakelijke documenten
De aanvallers maken gebruik van social engineering om slachtoffers over te halen de schadelijke bestanden te openen. De VBScript-bijlagen zijn vermomd als legitieme zakelijke en financiële documenten en gebruiken overtuigende bestandsnamen zoals 'Financial Reports.vbs' en 'Account Statement.vbs'. Om het internationale bereik van de campagne te vergroten, zijn sommige bestanden ook beschikbaar in talen zoals Portugees, Frans, Duits en Maleis.
De scripts zijn sterk versleuteld en bevatten uitgebreide commentaren en metadata die bedoeld zijn om authentieke Microsoft Windows Update-componenten na te bootsen. Talrijke commentaren zijn in het Chinees geschreven en verwijzen naar functies zoals:
- Windows Update-modules
- Validatieprocedures voor certificaten
- Systeemintegriteitscontroles
- Implementatiegerelateerde processen
Deze elementen zijn bedoeld om de bestanden legitiem te laten lijken en beveiligingsanalyses te bemoeilijken.
De infectieketen in meerdere fasen maakt toegang op afstand mogelijk.
Zodra het via 'WScript.exe' wordt uitgevoerd, start het kwaadaardige VBScript een infectieproces in meerdere stappen door extra VBScript-componenten te downloaden en uit te voeren. Het primaire doel van het eerste script is het ophalen van twee secundaire payloads van een externe server. De ene payload probeert het gedrag van Windows Gebruikersaccountbeheer (UAC) te manipuleren, terwijl de andere een ZIP-archief downloadt en start dat het installatiepakket voor ManageEngine RMM Central bevat.
De succesvolle installatie van de legitieme RMM-software geeft aanvallers de mogelijkheid om op afstand toegang te krijgen tot het systeem van het slachtoffer, waardoor ze dit kunnen besturen.
Verschillende uitvoeringspaden op WhatsApp Web en desktop
Het infectieproces verschilt afhankelijk van het gebruikte WhatsApp-platform. Op WhatsApp Web moeten slachtoffers het bestand downloaden en handmatig openen vanuit de downloadmap of browsergeschiedenis, in de veronderstelling dat het een echt document is.
Daarentegen maakt de WhatsApp Desktop-applicatie het mogelijk dat de malware direct binnen de clientomgeving wordt uitgevoerd. Procesanalyse toont aan dat 'WhatsApp.Root.exe', het achtergrondproces van de applicatie, verantwoordelijk is voor het starten van 'WScript.exe', dat vervolgens de kwaadaardige keten in gang zet.
Mogelijke verbanden met eerdere malware-aanvallen
Hoewel de campagne niet formeel is toegeschreven aan een specifieke dreigingsgroep, hebben onderzoekers overeenkomsten in de infrastructuur vastgesteld met eerdere kwaadaardige activiteiten die verband houden met de Gh0st RAT- en ValleyRAT-malwarefamilies. Deze overeenkomsten suggereren dat de operatie mogelijk middelen of tactieken deelt met eerdere cybercriminele campagnes.
Essentiële voorzorgsmaatregelen voor WhatsApp-gebruikers
Beveiligingsexperts adviseren gebruikers voorzichtig te zijn bij het ontvangen van onverwachte bijlagen via WhatsApp, zelfs als de berichten afkomstig lijken te zijn van vertrouwde contacten. De volgende bestandstypen mogen nooit worden geopend, tenzij de echtheid ervan onafhankelijk is bevestigd:
- VBS- en VBE-scriptbestanden
- Uitvoerbare bestanden zoals EXE, BAT en CMD
- Scriptgebaseerde formaten, waaronder JS en PS1.
Het controleren van bijlagen voordat ze worden geopend, blijft een van de meest effectieve verdedigingsmechanismen tegen malwarecampagnes die misbruik maken van vertrouwde communicatieplatformen.
