ਵਟਸਐਪ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ

ਸਾਈਬਰ ਅਪਰਾਧੀ ਖਤਰਨਾਕ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ (VBScript) ਫਾਈਲਾਂ ਨੂੰ ਵੰਡਣ ਲਈ WhatsApp ਸਿੱਧੇ ਸੰਦੇਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ ਜੋ ਅੰਤ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਜਾਇਜ਼ ਰਿਮੋਟ ਮਾਨੀਟਰਿੰਗ ਐਂਡ ਮੈਨੇਜਮੈਂਟ (RMM) ਸੌਫਟਵੇਅਰ ਸਥਾਪਤ ਕਰਦੇ ਹਨ। ਇਸ ਮੁਹਿੰਮ ਨੇ ਮਲੇਸ਼ੀਆ, ਬ੍ਰਾਜ਼ੀਲ, ਭਾਰਤ, ਮੈਕਸੀਕੋ, ਸਿੰਗਾਪੁਰ, ਯੂਨਾਈਟਿਡ ਕਿੰਗਡਮ, ਸਪੇਨ, ਤਾਈਵਾਨ, ਆਸਟ੍ਰੇਲੀਆ, ਰੂਸ ਅਤੇ ਵੀਅਤਨਾਮ ਸਮੇਤ ਕਈ ਦੇਸ਼ਾਂ ਵਿੱਚ WhatsApp ਡੈਸਕਟੌਪ ਅਤੇ WhatsApp ਵੈੱਬ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ਮਲੇਸ਼ੀਆ ਵਿੱਚ ਪ੍ਰਭਾਵਿਤ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਸਭ ਤੋਂ ਵੱਧ ਗਿਣਤੀ ਦਰਜ ਕੀਤੀ ਗਈ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਸ਼ੱਕ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਨੇ ਕਈ WhatsApp ਖਾਤਿਆਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕੀਤੀ ਅਤੇ ਫਿਰ ਇਹਨਾਂ ਹੇਰਾਫੇਰੀ ਕੀਤੇ ਪ੍ਰੋਫਾਈਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਉਹਨਾਂ ਦੀਆਂ ਸੰਪਰਕ ਸੂਚੀਆਂ ਵਿੱਚ ਲੋਕਾਂ ਨੂੰ ਖਤਰਨਾਕ ਫਾਈਲਾਂ ਭੇਜੀਆਂ। ਹਾਲਾਂਕਿ, ਇਹਨਾਂ ਖਾਤਿਆਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਸਹੀ ਤਰੀਕਾ ਅਜੇ ਅਣਜਾਣ ਹੈ।

ਕਾਰੋਬਾਰੀ ਦਸਤਾਵੇਜ਼ਾਂ ਦੇ ਭੇਸ ਵਿੱਚ

ਹਮਲਾਵਰ ਪੀੜਤਾਂ ਨੂੰ ਖਤਰਨਾਕ ਫਾਈਲਾਂ ਖੋਲ੍ਹਣ ਲਈ ਮਨਾਉਣ ਲਈ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। VBScript ਅਟੈਚਮੈਂਟਾਂ ਨੂੰ ਜਾਇਜ਼ ਕਾਰੋਬਾਰੀ ਅਤੇ ਵਿੱਤੀ ਦਸਤਾਵੇਜ਼ਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ 'ਵਿੱਤੀ ਰਿਪੋਰਟਾਂ.vbs' ਅਤੇ 'ਅਕਾਊਂਟ ਸਟੇਟਮੈਂਟ.vbs' ਵਰਗੇ ਭਰੋਸੇਮੰਦ ਫਾਈਲ ਨਾਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਮੁਹਿੰਮ ਦੀ ਅੰਤਰਰਾਸ਼ਟਰੀ ਪਹੁੰਚ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ, ਕੁਝ ਫਾਈਲਾਂ ਪੁਰਤਗਾਲੀ, ਫ੍ਰੈਂਚ, ਜਰਮਨ ਅਤੇ ਮਾਲੇਈ ਸਮੇਤ ਭਾਸ਼ਾਵਾਂ ਵਿੱਚ ਵੀ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ।

ਸਕ੍ਰਿਪਟਾਂ ਬਹੁਤ ਜ਼ਿਆਦਾ ਗੁੰਝਲਦਾਰ ਹਨ ਅਤੇ ਇਹਨਾਂ ਵਿੱਚ ਵਿਆਪਕ ਟਿੱਪਣੀਆਂ ਅਤੇ ਮੈਟਾਡੇਟਾ ਸ਼ਾਮਲ ਹਨ ਜੋ ਪ੍ਰਮਾਣਿਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿੰਡੋਜ਼ ਅੱਪਡੇਟ ਹਿੱਸਿਆਂ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਕਈ ਟਿੱਪਣੀਆਂ ਚੀਨੀ ਵਿੱਚ ਲਿਖੀਆਂ ਗਈਆਂ ਹਨ ਅਤੇ ਸੰਦਰਭ ਫੰਕਸ਼ਨ ਜਿਵੇਂ ਕਿ:

• ਵਿੰਡੋਜ਼ ਅੱਪਡੇਟ ਮੋਡੀਊਲ
• ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਕਿਰਿਆਵਾਂ
• ਸਿਸਟਮ ਇਕਸਾਰਤਾ ਜਾਂਚਾਂ
• ਤੈਨਾਤੀ-ਸਬੰਧਤ ਪ੍ਰਕਿਰਿਆਵਾਂ

ਇਹਨਾਂ ਤੱਤਾਂ ਦਾ ਉਦੇਸ਼ ਫਾਈਲਾਂ ਨੂੰ ਜਾਇਜ਼ ਦਿਖਾਉਣਾ ਅਤੇ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣਾ ਹੈ।

ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਰਿਮੋਟ ਐਕਸੈਸ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ

ਇੱਕ ਵਾਰ 'WScript.exe' ਰਾਹੀਂ ਚਲਾਉਣ ਤੋਂ ਬਾਅਦ, ਖਤਰਨਾਕ VBScript ਵਾਧੂ VBScript ਭਾਗਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਲਾਗੂ ਕਰਕੇ ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਸਕ੍ਰਿਪਟ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਦੋ ਸੈਕੰਡਰੀ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈ। ਇੱਕ ਪੇਲੋਡ Windows ਯੂਜ਼ਰ ਅਕਾਊਂਟ ਕੰਟਰੋਲ (UAC) ਵਿਵਹਾਰ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਦੂਜਾ ManageEngine RMM ਸੈਂਟਰਲ ਲਈ ਇੰਸਟਾਲੇਸ਼ਨ ਪੈਕੇਜ ਵਾਲਾ ਇੱਕ ZIP ਆਰਕਾਈਵ ਡਾਊਨਲੋਡ ਅਤੇ ਲਾਂਚ ਕਰਦਾ ਹੈ।

ਜਾਇਜ਼ RMM ਸੌਫਟਵੇਅਰ ਦੀ ਸਫਲ ਸਥਾਪਨਾ ਹਮਲਾਵਰਾਂ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਉਹ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਨੂੰ ਕੰਟਰੋਲ ਕਰ ਸਕਦੇ ਹਨ।

WhatsApp ਵੈੱਬ ਅਤੇ ਡੈਸਕਟਾਪ 'ਤੇ ਵੱਖ-ਵੱਖ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪਾਥ

ਲਾਗ ਦੀ ਪ੍ਰਕਿਰਿਆ ਵਰਤੇ ਜਾ ਰਹੇ WhatsApp ਪਲੇਟਫਾਰਮ ਦੇ ਆਧਾਰ 'ਤੇ ਵੱਖਰੀ ਹੁੰਦੀ ਹੈ। WhatsApp ਵੈੱਬ 'ਤੇ, ਪੀੜਤਾਂ ਨੂੰ ਫਾਈਲ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਡਾਊਨਲੋਡ ਫੋਲਡਰ ਜਾਂ ਬ੍ਰਾਊਜ਼ਰ ਇਤਿਹਾਸ ਤੋਂ ਹੱਥੀਂ ਖੋਲ੍ਹਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਇਹ ਮੰਨ ਕੇ ਕਿ ਇਹ ਇੱਕ ਅਸਲੀ ਦਸਤਾਵੇਜ਼ ਹੈ।

ਇਸ ਦੇ ਉਲਟ, WhatsApp ਡੈਸਕਟੌਪ ਐਪਲੀਕੇਸ਼ਨ ਮਾਲਵੇਅਰ ਨੂੰ ਸਿੱਧੇ ਕਲਾਇੰਟ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਪ੍ਰਕਿਰਿਆ ਵਿਸ਼ਲੇਸ਼ਣ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ 'WhatsApp.Root.exe', ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਪਿਛੋਕੜ ਪ੍ਰਕਿਰਿਆ, 'WScript.exe' ਨੂੰ ਲਾਂਚ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ, ਜੋ ਫਿਰ ਖਤਰਨਾਕ ਚੇਨ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ।

ਪੁਰਾਣੇ ਮਾਲਵੇਅਰ ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਸੰਭਾਵੀ ਕਨੈਕਸ਼ਨ

ਹਾਲਾਂਕਿ ਇਸ ਮੁਹਿੰਮ ਨੂੰ ਰਸਮੀ ਤੌਰ 'ਤੇ ਕਿਸੇ ਖਾਸ ਧਮਕੀ ਸਮੂਹ ਨਾਲ ਜੋੜਿਆ ਨਹੀਂ ਗਿਆ ਹੈ, ਪਰ ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ Gh0st RAT ਅਤੇ ValleyRAT ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨਾਲ ਜੁੜੀਆਂ ਪਿਛਲੀਆਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਨਾਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਓਵਰਲੈਪ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ। ਇਹ ਸਮਾਨਤਾਵਾਂ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ ਕਿ ਇਹ ਕਾਰਵਾਈ ਪਹਿਲਾਂ ਦੀਆਂ ਸਾਈਬਰ ਅਪਰਾਧੀ ਮੁਹਿੰਮਾਂ ਨਾਲ ਸਰੋਤ ਜਾਂ ਰਣਨੀਤੀਆਂ ਸਾਂਝੀਆਂ ਕਰ ਸਕਦੀ ਹੈ।

ਵਟਸਐਪ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਜ਼ਰੂਰੀ ਸਾਵਧਾਨੀਆਂ

ਸੁਰੱਖਿਆ ਮਾਹਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ WhatsApp ਰਾਹੀਂ ਅਚਾਨਕ ਅਟੈਚਮੈਂਟ ਪ੍ਰਾਪਤ ਕਰਨ ਵੇਲੇ ਸਾਵਧਾਨ ਰਹਿਣ ਦੀ ਸਲਾਹ ਦਿੰਦੇ ਹਨ, ਭਾਵੇਂ ਸੁਨੇਹੇ ਭਰੋਸੇਯੋਗ ਸੰਪਰਕਾਂ ਤੋਂ ਆਉਂਦੇ ਹੋਣ। ਹੇਠ ਲਿਖੀਆਂ ਫਾਈਲ ਕਿਸਮਾਂ ਨੂੰ ਕਦੇ ਵੀ ਨਹੀਂ ਖੋਲ੍ਹਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਜਦੋਂ ਤੱਕ ਉਨ੍ਹਾਂ ਦੀ ਵੈਧਤਾ ਦੀ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਪੁਸ਼ਟੀ ਨਹੀਂ ਹੋ ਜਾਂਦੀ:

• VBS ਅਤੇ VBE ਸਕ੍ਰਿਪਟ ਫਾਈਲਾਂ
• ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਾਂ ਜਿਵੇਂ ਕਿ EXE, BAT, ਅਤੇ CMD
• JS ਅਤੇ PS1 ਸਮੇਤ ਸਕ੍ਰਿਪਟ-ਅਧਾਰਿਤ ਫਾਰਮੈਟ

ਅਟੈਚਮੈਂਟਾਂ ਨੂੰ ਖੋਲ੍ਹਣ ਤੋਂ ਪਹਿਲਾਂ ਉਹਨਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨਾ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਦੇ ਵਿਰੁੱਧ ਸਭ ਤੋਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਬਚਾਅ ਵਿੱਚੋਂ ਇੱਕ ਹੈ ਜੋ ਭਰੋਸੇਯੋਗ ਸੰਚਾਰ ਪਲੇਟਫਾਰਮਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।