WhatsApp кампања против злонамерног софтвера

Сајбер криминалци користе директне поруке WhatsApp-а за дистрибуцију злонамерних Visual Basic Script (VBScript) датотека које на крају инсталирају легитиман софтвер за даљинско праћење и управљање (RMM) на компромитоване системе. Кампања је усмерила кориснике WhatsApp Desktop-а и WhatsApp Web-а у више земаља, укључујући Малезију, Бразил, Индију, Мексико, Сингапур, Уједињено Краљевство, Шпанију, Тајван, Аустралију, Русију и Вијетнам. Малезија је забележила највећи број погођених корисника.

Истраживачи сумњају да су нападачи добили неовлашћени приступ неколико WhatsApp налога, а затим искористили ове компромитоване профиле да би слали злонамерне датотеке људима на њиховим листама контаката. Међутим, тачан метод који је коришћен за отмицу ових налога остаје непознат.

Прерушено у пословне документе

Нападачи се ослањају на друштвени инжењеринг како би убедили жртве да отворе злонамерне датотеке. VBScript прилози су маскирани као легитимни пословни и финансијски документи и користе убедљива имена датотека као што су „Financial Reports.vbs“ и „Account Statement.vbs“. Да би се подржао међународни домет кампање, неке датотеке се појављују и на језицима, укључујући португалски, француски, немачки и малајски.

Скрипте су јако замагљене и садрже опсежне коментаре и метаподатке дизајниране да имитирају аутентичне компоненте Microsoft Windows Update-а. Бројни коментари су написани на кинеском и позивају се на функције као што су:

• Модули за Windows Update
• Поступци валидације сертификата
• Провере интегритета система
• Процеси везани за распоређивање

Ови елементи имају за циљ да учине да датотеке изгледају легитимно и да отежавају безбедносну анализу.

Вишестепени ланац инфекције омогућава удаљени приступ

Једном извршен путем „WScript.exe“, злонамерни VBScript покреће вишестепени процес инфекције преузимањем и извршавањем додатних VBScript компоненти. Примарни циљ почетног скрипта је преузимање два секундарна корисна оптерећења са удаљеног сервера. Један корисни оптерећење покушава да манипулише понашањем контроле корисничких налога у систему Windows (UAC), док други преузима и покреће ZIP архиву која садржи инсталациони пакет за ManageEngine RMM Central.

Успешна инсталација легитимног RMM софтвера даје нападачима могућности даљинског приступа, омогућавајући им да контролишу систем жртве.

Различите путање извршавања на WhatsApp Web-у и десктопу

Процес инфекције се разликује у зависности од коришћене WhatsApp платформе. На WhatsApp Web-у, жртве морају да преузму датотеку и ручно је отворе из фасцикле за преузимања или историје прегледача, верујући да је у питању оригинални документ.

Насупрот томе, апликација WhatsApp Desktop омогућава злонамерном софтверу да се извршава директно у клијентском окружењу. Анализа процеса показује да је „WhatsApp.Root.exe“, позадински процес апликације, одговоран за покретање „WScript.exe“, који затим покреће злонамерни ланац.

Могуће везе са ранијим операцијама злонамерног софтвера

Иако кампања није формално приписана одређеној групи претњи, истражитељи су идентификовали преклапања инфраструктуре са претходним злонамерним активностима повезаним са породицама малвера Gh0st RAT и ValleyRAT. Ове сличности указују на то да операција може делити ресурсе или тактике са ранијим кампањама сајбер криминала.

Основне мере предострожности за кориснике WhatsApp-а

Стручњаци за безбедност саветују корисницима да буду опрезни када примају неочекиване прилоге путем WhatsApp-а, чак и ако поруке изгледају као да долазе од поузданих контаката. Следеће типове датотека никада не треба отварати осим ако њихова легитимност није независно потврђена:

• VBS и VBE скриптне датотеке
• Извршне датотеке као што су EXE, BAT и CMD
• Формати засновани на скриптама, укључујући JS и PS1

Провера прилога пре њиховог отварања остаје једна од најефикаснијих одбрана од кампања злонамерног софтвера које искоришћавају поуздане комуникационе платформе.