Kampanja zlonamerne programske opreme WhatsApp
Kibernetski kriminalci uporabljajo neposredna sporočila WhatsApp za distribucijo zlonamernih datotek Visual Basic Script (VBScript), ki na koncu namestijo legitimno programsko opremo za oddaljeno spremljanje in upravljanje (RMM) na ogrožene sisteme. Kampanja je bila usmerjena na uporabnike WhatsApp Desktop in WhatsApp Web v več državah, vključno z Malezijo, Brazilijo, Indijo, Mehiko, Singapurjem, Združenim kraljestvom, Španijo, Tajvanom, Avstralijo, Rusijo in Vietnamom. Malezija je zabeležila največje število prizadetih uporabnikov.
Raziskovalci sumijo, da so napadalci pridobili nepooblaščen dostop do več računov WhatsApp in nato te ogrožene profile izkoristili za pošiljanje zlonamernih datotek ljudem na njihovih seznamih stikov. Vendar natančna metoda, uporabljena za ugrabitev teh računov, ostaja neznana.
Kazalo
Prikrito kot poslovni dokumenti
Napadalci se zanašajo na socialni inženiring, da bi žrtve prepričali k odprtju zlonamernih datotek. Priloge VBScript so prikrite kot legitimni poslovni in finančni dokumenti ter uporabljajo prepričljiva imena datotek, kot sta »Financial Reports.vbs« in »Account Statement.vbs«. Da bi podprli mednarodni doseg kampanje, so nekatere datoteke prikazane tudi v jezikih, kot so portugalščina, francoščina, nemščina in malajščina.
Skripti so močno zakriti in vsebujejo obsežne komentarje in metapodatke, namenjene posnemanju pristnih komponent storitve Microsoft Windows Update. Številni komentarji so napisani v kitajščini in se sklicujejo na funkcije, kot so:
- Moduli za posodobitve sistema Windows
- Postopki potrjevanja certifikatov
- Preverjanja integritete sistema
- Postopki, povezani z uvajanjem
Namen teh elementov je ustvariti vtis legitimnosti datotek in ovirati varnostno analizo.
Večstopenjska veriga okužb omogoča oddaljeni dostop
Ko se zlonamerni VBScript izvede prek datoteke »WScript.exe«, sproži večstopenjski proces okužbe s prenosom in izvajanjem dodatnih komponent VBScript. Glavni cilj začetnega skripta je pridobiti dva sekundarna koristna tovora z oddaljenega strežnika. En koristni tovor poskuša manipulirati z delovanjem nadzora uporabniških računov sistema Windows (UAC), drugi pa prenese in zažene arhiv ZIP z namestitvenim paketom za ManageEngine RMM Central.
Uspešna namestitev legitimne programske opreme RMM napadalcem omogoča oddaljeni dostop, kar jim omogoča nadzor nad sistemom žrtve.
Različne poti izvajanja v WhatsApp Web in Desktop
Postopek okužbe se razlikuje glede na uporabljeno platformo WhatsApp. Na WhatsApp Web morajo žrtve prenesti datoteko in jo ročno odpreti iz mape s prenosi ali zgodovine brskalnika, saj verjamejo, da gre za pristen dokument.
V nasprotju s tem aplikacija WhatsApp Desktop omogoča, da se zlonamerna programska oprema izvaja neposredno v odjemalskem okolju. Analiza procesa kaže, da je za zagon programa »WScript.exe«, ki nato sproži zlonamerno verigo, odgovoren proces »WhatsApp.Root.exe«, ki deluje v ozadju aplikacije.
Možne povezave s prejšnjimi operacijami zlonamerne programske opreme
Čeprav kampanja formalno ni bila pripisana določeni skupini groženj, so preiskovalci odkrili prekrivanja infrastrukture s prejšnjimi zlonamernimi dejavnostmi, povezanimi z družinama zlonamerne programske opreme Gh0st RAT in ValleyRAT. Te podobnosti kažejo, da si operacija morda deli vire ali taktike s prejšnjimi kampanjami kibernetskega kriminala.
Bistveni previdnostni ukrepi za uporabnike WhatsAppa
Varnostni strokovnjaki svetujejo uporabnikom, naj bodo previdni pri prejemanju nepričakovanih prilog prek WhatsAppa, tudi če se zdi, da sporočila prihajajo od zaupanja vrednih stikov. Naslednjih vrst datotek ne smete nikoli odpirati, razen če je bila njihova legitimnost neodvisno potrjena:
- Datoteke skriptov VBS in VBE
- Izvršljive datoteke, kot so EXE, BAT in CMD
- Formati, ki temeljijo na skriptih, vključno z JS in PS1
Preverjanje prilog pred njihovim odpiranjem ostaja ena najučinkovitejših obramb pred zlonamerno programsko opremo, ki izkorišča zaupanja vredne komunikacijske platforme.