Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Fushata e programeve keqdashëse të WhatsApp

Fushata e programeve keqdashëse të WhatsApp

Nga MezoMalware
Përkthe në:

Kriminelët kibernetikë po përdorin mesazhet direkte të WhatsApp për të shpërndarë skedarë keqdashës Visual Basic Script (VBScript) që në fund të fundit instalojnë softuer legjitim të Monitorimit dhe Menaxhimit në Distancë (RMM) në sisteme të kompromentuara. Fushata ka synuar përdoruesit e WhatsApp Desktop dhe WhatsApp Web në vende të shumta, duke përfshirë Malajzinë, Brazilin, Indinë, Meksikën, Singaporin, Mbretërinë e Bashkuar, Spanjën, Tajvanin, Australinë, Rusinë dhe Vietnamin. Malajzia ka regjistruar numrin më të lartë të përdoruesve të prekur.

Studiuesit dyshojnë se sulmuesit kanë fituar akses të paautorizuar në disa llogari WhatsApp dhe më pas i kanë shfrytëzuar këto profile të kompromentuara për të dërguar skedarë keqdashës te njerëzit në listat e tyre të kontakteve. Megjithatë, metoda e saktë e përdorur për të rrëmbyer këto llogari mbetet e panjohur.

Të maskuara si dokumente biznesi

Sulmuesit mbështeten në inxhinierinë sociale për të bindur viktimat që të hapin skedarët keqdashës. Bashkëngjitjet VBScript janë të maskuara si dokumente legjitime biznesi dhe financiare dhe përdorin emra bindës skedarësh si 'Financial Reports.vbs' dhe 'Account Statement.vbs'. Për të mbështetur shtrirjen ndërkombëtare të fushatës, disa skedarë shfaqen edhe në gjuhë të tjera, duke përfshirë portugalishten, frëngjishten, gjermanishten dhe malajishten.

Skriptet janë shumë të turbullta dhe përmbajnë komente dhe meta të dhëna të gjera të dizajnuara për të imituar komponentët autentikë të Microsoft Windows Update. Komente të shumta janë shkruar në kinezisht dhe funksione referimi si:

  • Modulet e Windows Update
  • Procedurat e validimit të certifikatës
  • Kontrollet e integritetit të sistemit
  • Proceset që lidhen me vendosjen

Këto elementë kanë për qëllim që skedarët të duken të ligjshëm dhe të pengojnë analizën e sigurisë.

Zinxhiri i infeksionit shumëfazor mundëson aksesin në distancë

Pasi ekzekutohet përmes 'WScript.exe', VBScript-i keqdashës fillon një proces infektimi me shumë faza duke shkarkuar dhe ekzekutuar komponentë shtesë VBScript. Objektivi kryesor i skriptit fillestar është të marrë dy ngarkesa dytësore nga një server i largët. Një ngarkesë përpiqet të manipulojë sjelljen e Kontrollit të Llogarisë së Përdoruesit të Windows (UAC), ndërsa tjetra shkarkon dhe hap një arkiv ZIP që përmban paketën e instalimit për ManageEngine RMM Central.

Instalimi i suksesshëm i softuerit legjitim RMM u jep sulmuesve mundësi aksesi në distancë, duke i mundësuar ata të kontrollojnë sistemin e viktimës.

Shtigje të ndryshme ekzekutimi në WhatsApp Web dhe Desktop

Procesi i infektimit ndryshon në varësi të platformës WhatsApp që përdoret. Në WhatsApp Web, viktimave u kërkohet të shkarkojnë skedarin dhe ta hapin manualisht nga dosja e shkarkimeve ose historiku i shfletuesit, duke besuar se është një dokument i vërtetë.

Në të kundërt, aplikacioni WhatsApp Desktop lejon që malware të ekzekutohet direkt brenda mjedisit të klientit. Analiza e procesit tregon se 'WhatsApp.Root.exe', procesi në sfond i aplikacionit, është përgjegjës për nisjen e 'WScript.exe', i cili më pas inicion zinxhirin keqdashës.

Lidhje të mundshme me operacione të mëparshme të malware-it

Edhe pse fushata nuk i është atribuar zyrtarisht një grupi specifik kërcënimesh, hetuesit kanë identifikuar mbivendosje të infrastrukturës me aktivitete të mëparshme keqdashëse të lidhura me familjet e programeve keqdashëse Gh0st RAT dhe ValleyRAT. Këto ngjashmëri sugjerojnë që operacioni mund të ndajë burime ose taktika me fushata të mëparshme kriminale kibernetike.

Masat paraprake thelbësore për përdoruesit e WhatsApp

Ekspertët e sigurisë këshillojnë përdoruesit të qëndrojnë të kujdesshëm kur marrin bashkëngjitje të papritura përmes WhatsApp, edhe nëse mesazhet duket se vijnë nga kontakte të besueshme. Llojet e mëposhtme të skedarëve nuk duhet të hapen kurrë nëse legjitimiteti i tyre nuk është konfirmuar në mënyrë të pavarur:

  • Skedarët e skripteve VBS dhe VBE
  • Skedarë të ekzekutueshëm si EXE, BAT dhe CMD
  • Formate të bazuara në skripte, duke përfshirë JS dhe PS1

Verifikimi i bashkëngjitjeve përpara hapjes së tyre mbetet një nga mbrojtjet më efektive kundër fushatave të programeve keqdashëse që shfrytëzojnë platformat e besueshme të komunikimit.

Po ngarkohet...