Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Campanha de malware do WhatsApp

Campanha de malware do WhatsApp

Por Mezo em Malware
Traduzir Para:

Criminosos cibernéticos estão usando mensagens diretas do WhatsApp para distribuir arquivos maliciosos em Visual Basic Script (VBScript) que, em última instância, instalam softwares legítimos de monitoramento e gerenciamento remoto (RMM) em sistemas comprometidos. A campanha teve como alvo usuários do WhatsApp Desktop e WhatsApp Web em diversos países, incluindo Malásia, Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã. A Malásia registrou o maior número de usuários afetados.

Os pesquisadores suspeitam que os invasores obtiveram acesso não autorizado a diversas contas do WhatsApp e, em seguida, utilizaram esses perfis comprometidos para enviar arquivos maliciosos a pessoas em suas listas de contatos. No entanto, o método exato usado para invadir essas contas permanece desconhecido.

Disfarçados de documentos comerciais

Os atacantes utilizam engenharia social para persuadir as vítimas a abrir os arquivos maliciosos. Os anexos em VBScript são disfarçados de documentos comerciais e financeiros legítimos e usam nomes de arquivo convincentes, como 'Relatórios Financeiros.vbs' e 'Extrato de Conta.vbs'. Para ampliar o alcance internacional da campanha, alguns arquivos também aparecem em idiomas como português, francês, alemão e malaio.

Os scripts estão fortemente ofuscados e contêm extensos comentários e metadados projetados para imitar componentes autênticos do Microsoft Windows Update. Numerosos comentários estão escritos em chinês e fazem referência a funções como:

  • Módulos do Windows Update
  • Procedimentos de validação de certificados
  • Verificações de integridade do sistema
  • Processos relacionados à implantação

Esses elementos têm como objetivo fazer com que os arquivos pareçam legítimos e dificultar a análise de segurança.

Cadeia de infecção em múltiplos estágios permite acesso remoto

Uma vez executado pelo 'WScript.exe', o VBScript malicioso inicia um processo de infecção em várias etapas, baixando e executando componentes VBScript adicionais. O objetivo principal do script inicial é obter duas cargas úteis secundárias de um servidor remoto. Uma dessas cargas tenta manipular o comportamento do Controle de Conta de Usuário (UAC) do Windows, enquanto a outra baixa e executa um arquivo ZIP contendo o pacote de instalação do ManageEngine RMM Central.

A instalação bem-sucedida do software RMM legítimo concede aos atacantes capacidades de acesso remoto, permitindo-lhes controlar o sistema da vítima.

Diferentes caminhos de execução no WhatsApp Web e na versão para desktop.

O processo de infecção varia dependendo da plataforma WhatsApp utilizada. No WhatsApp Web, as vítimas precisam baixar o arquivo e abri-lo manualmente a partir da pasta de downloads ou do histórico do navegador, acreditando tratar-se de um documento legítimo.

Em contrapartida, o aplicativo WhatsApp Desktop permite que o malware seja executado diretamente no ambiente do cliente. A análise de processos mostra que o 'WhatsApp.Root.exe', processo em segundo plano do aplicativo, é responsável por iniciar o 'WScript.exe', que então inicia a cadeia maliciosa.

Possíveis ligações com operações de malware anteriores

Embora a campanha não tenha sido formalmente atribuída a um grupo de ameaças específico, os investigadores identificaram sobreposições de infraestrutura com atividades maliciosas anteriores associadas às famílias de malware Gh0st RAT e ValleyRAT. Essas semelhanças sugerem que a operação pode compartilhar recursos ou táticas com campanhas cibercriminosas anteriores.

Precauções essenciais para usuários do WhatsApp

Especialistas em segurança aconselham os usuários a permanecerem cautelosos ao receberem anexos inesperados pelo WhatsApp, mesmo que as mensagens pareçam vir de contatos confiáveis. Os seguintes tipos de arquivo nunca devem ser abertos, a menos que sua legitimidade tenha sido confirmada de forma independente:

  • Arquivos de script VBS e VBE
  • Arquivos executáveis como EXE, BAT e CMD
  • Formatos baseados em scripts, incluindo JS e PS1

Verificar os anexos antes de abri-los continua sendo uma das defesas mais eficazes contra campanhas de malware que exploram plataformas de comunicação confiáveis.

Mais visto

Carregando...