Кампания по распространению вредоносного ПО в WhatsApp
Киберпреступники используют личные сообщения в WhatsApp для распространения вредоносных файлов Visual Basic Script (VBScript), которые в конечном итоге устанавливают легитимное программное обеспечение для удаленного мониторинга и управления (RMM) на скомпрометированные системы. Кампания нацелена на пользователей WhatsApp Desktop и WhatsApp Web в нескольких странах, включая Малайзию, Бразилию, Индию, Мексику, Сингапур, Великобританию, Испанию, Тайвань, Австралию, Россию и Вьетнам. Наибольшее количество пострадавших пользователей зафиксировано в Малайзии.
Исследователи подозревают, что злоумышленники получили несанкционированный доступ к нескольким учетным записям WhatsApp, а затем использовали эти взломанные профили для рассылки вредоносных файлов людям из их списков контактов. Однако точный метод, использованный для взлома этих учетных записей, остается неизвестным.
Оглавление
Замаскированные под деловые документы
Злоумышленники используют методы социальной инженерии, чтобы убедить жертв открыть вредоносные файлы. Вложения на языке VBScript замаскированы под легитимные деловые и финансовые документы и используют убедительные имена файлов, такие как «Financial Reports.vbs» и «Account Statement.vbs». Для обеспечения международного охвата кампании некоторые файлы также представлены на португальском, французском, немецком и малайском языках.
Скрипты сильно обфусцированы и содержат обширные комментарии и метаданные, предназначенные для имитации подлинных компонентов Центра обновления Microsoft Windows. Многие комментарии написаны на китайском языке и содержат ссылки на такие функции, как:
- модули обновления Windows
- Процедуры проверки сертификатов
- Проверки целостности системы
- Процессы, связанные с развертыванием
Эти элементы призваны придать файлам видимость легитимности и затруднить анализ безопасности.
Многоступенчатая цепочка заражения обеспечивает удаленный доступ.
После запуска через 'WScript.exe' вредоносный VBScript инициирует многоэтапный процесс заражения, загружая и выполняя дополнительные компоненты VBScript. Основная цель первоначального скрипта — получить две дополнительные полезные нагрузки с удаленного сервера. Одна полезная нагрузка пытается манипулировать поведением контроля учетных записей пользователей Windows (UAC), а другая загружает и запускает ZIP-архив, содержащий установочный пакет ManageEngine RMM Central.
Успешная установка легитимного программного обеспечения RMM предоставляет злоумышленникам возможности удаленного доступа, позволяя им контролировать систему жертвы.
Различные пути выполнения в веб-версии и на настольной версии WhatsApp.
Процесс заражения различается в зависимости от используемой платформы WhatsApp. В WhatsApp Web жертвам необходимо загрузить файл и вручную открыть его из папки загрузок или истории браузера, полагая, что это подлинный документ.
В отличие от этого, приложение WhatsApp Desktop позволяет вредоносной программе выполняться непосредственно в среде клиента. Анализ процессов показывает, что фоновый процесс приложения «WhatsApp.Root.exe» отвечает за запуск «WScript.exe», который затем запускает вредоносную цепочку.
Возможные связи с более ранними операциями по распространению вредоносного ПО.
Хотя эта кампания официально не была отнесена к конкретной группе злоумышленников, следователи выявили совпадения инфраструктуры с предыдущей вредоносной деятельностью, связанной с семействами вредоносных программ Gh0st RAT и ValleyRAT. Эти сходства позволяют предположить, что операция может использовать те же ресурсы или тактику, что и более ранние киберпреступные кампании.
Основные меры предосторожности для пользователей WhatsApp
Эксперты по безопасности советуют пользователям проявлять осторожность при получении неожиданных вложений через WhatsApp, даже если сообщения кажутся отправленными от доверенных контактов. Следующие типы файлов ни в коем случае нельзя открывать, если их подлинность не была независимо подтверждена:
- Скриптовые файлы VBS и VBE
- Исполняемые файлы, такие как EXE, BAT и CMD.
- Скриптовые форматы, включая JS и PS1
Проверка вложений перед их открытием остается одним из наиболее эффективных способов защиты от вредоносных программ, использующих уязвимости доверенных коммуникационных платформ.
