Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Kampania malware WhatsApp

Kampania malware WhatsApp

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Cyberprzestępcy wykorzystują wiadomości WhatsApp do dystrybucji złośliwych plików Visual Basic Script (VBScript), które ostatecznie instalują legalne oprogramowanie do zdalnego monitorowania i zarządzania (RMM) w zainfekowanych systemach. Kampania była skierowana do użytkowników WhatsApp Desktop i WhatsApp Web w wielu krajach, w tym w Malezji, Brazylii, Indiach, Meksyku, Singapurze, Wielkiej Brytanii, Hiszpanii, Tajwanie, Australii, Rosji i Wietnamie. Malezja odnotowała największą liczbę użytkowników dotkniętych atakiem.

Badacze podejrzewają, że atakujący uzyskali nieautoryzowany dostęp do kilku kont WhatsApp, a następnie wykorzystali te przejęte profile do wysyłania złośliwych plików osobom z list kontaktów. Dokładna metoda przejęcia tych kont pozostaje jednak nieznana.

Zamaskowane jako dokumenty biznesowe

Atakujący wykorzystują socjotechnikę, aby nakłonić ofiary do otwarcia złośliwych plików. Załączniki VBScript podszywają się pod legalne dokumenty biznesowe i finansowe i używają przekonujących nazw plików, takich jak „Raporty finansowe.vbs” i „Wyciąg z konta.vbs”. Aby zwiększyć międzynarodowy zasięg kampanii, niektóre pliki są również dostępne w językach takich jak portugalski, francuski, niemiecki i malajskim.

Skrypty są mocno zaciemnione i zawierają obszerne komentarze oraz metadane, które mają imitować autentyczne komponenty usługi Microsoft Windows Update. Liczne komentarze napisane są w języku chińskim i odwołują się do takich funkcji, jak:

  • Moduły usługi Windows Update
  • Procedury walidacji certyfikatów
  • Sprawdzanie integralności systemu
  • Procesy związane z wdrażaniem

Elementy te mają na celu sprawić, by pliki wydawały się legalne i utrudnić analizę bezpieczeństwa.

Wieloetapowy łańcuch infekcji umożliwia zdalny dostęp

Po uruchomieniu za pomocą pliku „WScript.exe” złośliwy skrypt VBScript inicjuje wieloetapowy proces infekcji, pobierając i uruchamiając dodatkowe komponenty VBScript. Głównym celem początkowego skryptu jest pobranie dwóch dodatkowych ładunków ze zdalnego serwera. Jeden z nich próbuje manipulować działaniem Kontroli konta użytkownika (UAC) systemu Windows, a drugi pobiera i uruchamia archiwum ZIP zawierające pakiet instalacyjny ManageEngine RMM Central.

Pomyślna instalacja legalnego oprogramowania RMM umożliwia atakującym zdalny dostęp, co pozwala im kontrolować system ofiary.

Różne ścieżki realizacji w WhatsApp Web i na komputerze

Proces infekcji różni się w zależności od używanej platformy WhatsApp. W WhatsApp Web ofiary muszą pobrać plik i ręcznie otworzyć go z folderu pobranych plików lub historii przeglądarki, wierząc, że jest to autentyczny dokument.

Natomiast aplikacja WhatsApp Desktop umożliwia uruchomienie złośliwego oprogramowania bezpośrednio w środowisku klienta. Analiza procesów pokazuje, że proces WhatsApp.Root.exe, działający w tle aplikacji, jest odpowiedzialny za uruchomienie procesu WScript.exe, który następnie inicjuje łańcuch złośliwych działań.

Możliwe powiązania z wcześniejszymi operacjami złośliwego oprogramowania

Chociaż kampania nie została formalnie przypisana konkretnej grupie zagrożeń, śledczy zidentyfikowali pokrywające się elementy infrastruktury z wcześniejszą szkodliwą aktywnością związaną z rodzinami złośliwego oprogramowania Gh0st RAT i ValleyRAT. Te podobieństwa sugerują, że operacja może wykorzystywać wspólne zasoby lub taktykę z wcześniejszymi kampaniami cyberprzestępców.

Niezbędne środki ostrożności dla użytkowników WhatsApp

Eksperci ds. bezpieczeństwa zalecają użytkownikom zachowanie ostrożności w przypadku otrzymania nieoczekiwanych załączników za pośrednictwem WhatsApp, nawet jeśli wiadomości wydają się pochodzić od zaufanych kontaktów. Poniższych typów plików nigdy nie należy otwierać, chyba że ich autentyczność została niezależnie potwierdzona:

  • Pliki skryptów VBS i VBE
  • Pliki wykonywalne, takie jak EXE, BAT i CMD
  • Formaty oparte na skryptach, w tym JS i PS1

Sprawdzanie załączników przed ich otwarciem pozostaje jedną z najskuteczniejszych metod obrony przed kampaniami złośliwego oprogramowania wykorzystującymi zaufane platformy komunikacyjne.

Najczęściej oglądane

Ładowanie...