Kampaň proti malvéru vo WhatsAppe

Kyberzločinci používajú priame správy WhatsApp na distribúciu škodlivých súborov Visual Basic Script (VBScript), ktoré nakoniec nainštalujú legitímny softvér na vzdialené monitorovanie a správu (RMM) na napadnuté systémy. Kampaň sa zamerala na používateľov WhatsApp Desktop a WhatsApp Web vo viacerých krajinách vrátane Malajzie, Brazílie, Indie, Mexika, Singapuru, Spojeného kráľovstva, Španielska, Taiwanu, Austrálie, Ruska a Vietnamu. Malajzia zaznamenala najvyšší počet postihnutých používateľov.

Výskumníci majú podozrenie, že útočníci získali neoprávnený prístup k niekoľkým účtom WhatsApp a potom zneužili tieto napadnuté profily na odosielanie škodlivých súborov ľuďom v ich zoznamoch kontaktov. Presná metóda použitá na únos týchto účtov však zostáva neznáma.

Maskované ako obchodné dokumenty

Útočníci sa spoliehajú na sociálne inžinierstvo, aby presvedčili obete, aby otvorili škodlivé súbory. Prílohy VBScript sú maskované ako legitímne obchodné a finančné dokumenty a používajú presvedčivé názvy súborov, ako napríklad „Financial Reports.vbs“ a „Account Statement.vbs“. Na podporu medzinárodného dosahu kampane sa niektoré súbory zobrazujú aj v jazykoch vrátane portugalčiny, francúzštiny, nemčiny a malajčiny.

Skripty sú silne zahalené v obfuskácii a obsahujú rozsiahle komentáre a metadáta určené na napodobňovanie autentických komponentov služby Microsoft Windows Update. Mnohé komentáre sú napísané v čínštine a odkazujú na funkcie, ako napríklad:

• Moduly služby Windows Update
• Postupy overovania certifikátov
• Kontroly integrity systému
• Procesy súvisiace s nasadením

Tieto prvky majú za cieľ vytvoriť dojem legitímnosti súborov a sťažiť bezpečnostnú analýzu.

Viacstupňový reťazec infekcie umožňuje vzdialený prístup

Po spustení prostredníctvom súboru „WScript.exe“ škodlivý skript VBScript spustí viacstupňový proces infikovania sťahovaním a spustením ďalších komponentov VBScript. Primárnym cieľom počiatočného skriptu je získať dva sekundárne dáta zo vzdialeného servera. Jedno dáta sa pokúša manipulovať so správaním Kontroly používateľských kont systému Windows (UAC), zatiaľ čo druhé sťahuje a spúšťa ZIP archív obsahujúci inštalačný balík pre ManageEngine RMM Central.

Úspešná inštalácia legitímneho softvéru RMM poskytuje útočníkom možnosti vzdialeného prístupu, čo im umožňuje ovládať systém obete.

Rôzne spôsoby vykonávania v aplikáciách WhatsApp Web a Desktop

Proces infikovania sa líši v závislosti od použitej platformy WhatsApp. Na WhatsApp Web musia obete stiahnuť súbor a manuálne ho otvoriť zo priečinka so stiahnutými súbormi alebo z histórie prehliadača v domnení, že ide o pravý dokument.

Naproti tomu aplikácia WhatsApp Desktop umožňuje malvéru spúšťať sa priamo v klientskom prostredí. Analýza procesu ukazuje, že za spustenie súboru WScript.exe, ktorý následne iniciuje reťazec škodlivého softvéru, je zodpovedný proces na pozadí aplikácie „WhatsApp.Root.exe“.

Možné súvislosti s predchádzajúcimi operáciami so škodlivým softvérom

Hoci kampaň nebola formálne priradená konkrétnej skupine hrozieb, vyšetrovatelia identifikovali prekrývanie infraštruktúry s predchádzajúcou škodlivou aktivitou spojenou s rodinami malvérov Gh0st RAT a ValleyRAT. Tieto podobnosti naznačujú, že operácia môže zdieľať zdroje alebo taktiky s predchádzajúcimi kampaňami kyberzločincov.

Základné bezpečnostné opatrenia pre používateľov WhatsAppu

Bezpečnostní experti radia používateľom, aby boli opatrní pri prijímaní neočakávaných príloh cez WhatsApp, a to aj v prípade, že správy zrejme pochádzajú od dôveryhodných kontaktov. Nasledujúce typy súborov by sa nikdy nemali otvárať, pokiaľ ich legitimita nebola nezávisle potvrdená:

• Súbory skriptov VBS a VBE
• Spustiteľné súbory ako EXE, BAT a CMD
• Formáty založené na skriptoch vrátane JS a PS1

Overovanie príloh pred ich otvorením zostáva jednou z najúčinnejších obranných opatrení proti škodlivým kampaniam, ktoré zneužívajú dôveryhodné komunikačné platformy.