Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Campanie malware pe WhatsApp

Campanie malware pe WhatsApp

Până în Mezo în Programe malware
Tradu in:

Infractorii cibernetici folosesc mesaje directe WhatsApp pentru a distribui fișiere Visual Basic Script (VBScript) rău intenționate, care în cele din urmă instalează software legitim de monitorizare și gestionare la distanță (RMM) pe sistemele compromise. Campania a vizat utilizatorii WhatsApp Desktop și WhatsApp Web din mai multe țări, inclusiv Malaezia, Brazilia, India, Mexic, Singapore, Regatul Unit, Spania, Taiwan, Australia, Rusia și Vietnam. Malaezia a înregistrat cel mai mare număr de utilizatori afectați.

Cercetătorii suspectează că atacatorii au obținut acces neautorizat la mai multe conturi WhatsApp și apoi au folosit aceste profiluri compromise pentru a trimite fișiere rău intenționate persoanelor din listele lor de contacte. Cu toate acestea, metoda exactă utilizată pentru deturnarea acestor conturi rămâne necunoscută.

Deghizate în documente comerciale

Atacatorii se bazează pe inginerie socială pentru a convinge victimele să deschidă fișierele rău intenționate. Atașamentele VBScript sunt deghizate în documente comerciale și financiare legitime și folosesc nume de fișiere convingătoare, cum ar fi „Financial Reports.vbs” și „Account Statement.vbs”. Pentru a susține acoperirea internațională a campaniei, unele fișiere apar și în limbi precum portugheză, franceză, germană și malaeziană.

Scripturile sunt puternic ofuscate și conțin comentarii și metadate extinse, concepute pentru a imita componentele autentice Microsoft Windows Update. Numeroase comentarii sunt scrise în chineză și fac referire la funcții precum:

  • Module Windows Update
  • Proceduri de validare a certificatelor
  • Verificări ale integrității sistemului
  • Procese legate de implementare

Aceste elemente sunt destinate să facă fișierele să pară legitime și să împiedice analiza de securitate.

Lanțul de infecții în mai multe etape permite accesul de la distanță

Odată executat prin intermediul fișierului „WScript.exe”, VBScript-ul malițios inițiază un proces de infectare în mai multe etape prin descărcarea și executarea componentelor VBScript suplimentare. Obiectivul principal al scriptului inițial este de a recupera două sarcini utile secundare de pe un server la distanță. O sarcină utilă încearcă să manipuleze comportamentul Controlului contului de utilizator Windows (UAC), în timp ce cealaltă descarcă și lansează o arhivă ZIP care conține pachetul de instalare pentru ManageEngine RMM Central.

Instalarea cu succes a software-ului RMM legitim oferă atacatorilor capacități de acces de la distanță, permițându-le să controleze sistemul victimei.

Diferite căi de execuție pe WhatsApp Web și Desktop

Procesul de infectare diferă în funcție de platforma WhatsApp utilizată. Pe WhatsApp Web, victimele sunt obligate să descarce fișierul și să îl deschidă manual din folderul de descărcări sau din istoricul browserului, crezând că este un document autentic.

În schimb, aplicația WhatsApp Desktop permite malware-ului să se execute direct în mediul clientului. Analiza procesului arată că „WhatsApp.Root.exe”, procesul din fundal al aplicației, este responsabil pentru lansarea fișierului „WScript.exe”, care apoi inițiază lanțul malițios.

Posibile conexiuni cu operațiuni anterioare de malware

Deși campania nu a fost atribuită oficial unui grup de amenințări specific, anchetatorii au identificat suprapuneri de infrastructură cu activitățile rău intenționate anterioare asociate familiilor de programe malware Gh0st RAT și ValleyRAT. Aceste asemănări sugerează că operațiunea ar putea avea resurse sau tactici comune cu campanii cibernetice anterioare.

Precauții esențiale pentru utilizatorii WhatsApp

Experții în securitate recomandă utilizatorilor să fie precauți atunci când primesc atașamente neașteptate prin WhatsApp, chiar dacă mesajele par să provină de la contacte de încredere. Următoarele tipuri de fișiere nu ar trebui deschise niciodată decât dacă legitimitatea lor a fost confirmată independent:

  • Fișiere script VBS și VBE
  • Fișiere executabile precum EXE, BAT și CMD
  • Formate bazate pe scripturi, inclusiv JS și PS1

Verificarea atașamentelor înainte de deschiderea lor rămâne una dintre cele mai eficiente metode de apărare împotriva campaniilor de malware care exploatează platformele de comunicare de încredere.

Se încarcă...