WhatsApp-kampanj mot skadlig kod

Cyberbrottslingar använder WhatsApps direktmeddelanden för att distribuera skadliga Visual Basic Script (VBScript)-filer som i slutändan installerar legitim programvara för fjärrövervakning och hantering (RMM) på komprometterade system. Kampanjen har riktat sig mot användare av WhatsApp Desktop och WhatsApp Web i flera länder, inklusive Malaysia, Brasilien, Indien, Mexiko, Singapore, Storbritannien, Spanien, Taiwan, Australien, Ryssland och Vietnam. Malaysia har registrerat det högsta antalet drabbade användare.

Forskare misstänker att angriparna fick obehörig åtkomst till flera WhatsApp-konton och sedan utnyttjade dessa komprometterade profiler för att skicka skadliga filer till personer i deras kontaktlistor. Den exakta metoden som användes för att kapa dessa konton är dock fortfarande okänd.

Förklädda som affärsdokument

Angriparna förlitar sig på social ingenjörskonst för att övertala offren att öppna de skadliga filerna. VBScript-bilagorna är förklädda till legitima affärs- och finansiella dokument och använder övertygande filnamn som "Financial Reports.vbs" och "Account Statement.vbs". För att stödja kampanjens internationella räckvidd finns vissa filer även på språk som portugisiska, franska, tyska och malajiska.

Skripten är kraftigt förvrängda och innehåller omfattande kommentarer och metadata utformade för att imitera autentiska Microsoft Windows Update-komponenter. Många kommentarer är skrivna på kinesiska och refererar till funktioner som:

• Windows Update-moduler
• Certifikatvalideringsprocedurer
• Systemintegritetskontroller
• Implementeringsrelaterade processer

Dessa element är avsedda att få filerna att se legitima ut och hindra säkerhetsanalys.

Flerstegsinfektionskedja möjliggör fjärråtkomst

När det skadliga VBScript-skriptet körs via 'WScript.exe' initierar det en infektionsprocess i flera steg genom att ladda ner och köra ytterligare VBScript-komponenter. Det primära målet med det initiala skriptet är att hämta två sekundära nyttolaster från en fjärrserver. En nyttolast försöker manipulera beteendet hos Windows User Account Control (UAC), medan den andra laddar ner och startar ett ZIP-arkiv som innehåller installationspaketet för ManageEngine RMM Central.

Den lyckade installationen av den legitima RMM-programvaran ger angripare fjärråtkomstmöjligheter, vilket gör det möjligt för dem att kontrollera offrets system.

Olika exekveringsvägar på WhatsApp Web och Desktop

Infektionsprocessen skiljer sig åt beroende på vilken WhatsApp-plattform som används. På WhatsApp Web måste offren ladda ner filen och manuellt öppna den från nedladdningsmappen eller webbhistoriken, i tron att det är ett äkta dokument.

WhatsApp Desktop-applikationen tillåter däremot att skadlig kod körs direkt i klientmiljön. Processanalys visar att 'WhatsApp.Root.exe', applikationens bakgrundsprocess, är ansvarig för att starta 'WScript.exe', som sedan initierar den skadliga kedjan.

Möjliga kopplingar till tidigare skadlig kod

Även om kampanjen inte formellt har tillskrivits en specifik hotgrupp, har utredare identifierat infrastrukturöverlappningar med tidigare skadlig aktivitet kopplad till Gh0st RAT- och ValleyRAT-familjerna av skadlig kod. Dessa likheter tyder på att operationen kan dela resurser eller taktiker med tidigare cyberkriminella kampanjer.

Viktiga försiktighetsåtgärder för WhatsApp-användare

Säkerhetsexperter råder användare att vara försiktiga när de får oväntade bilagor via WhatsApp, även om meddelandena verkar komma från betrodda kontakter. Följande filtyper bör aldrig öppnas om inte deras legitimitet har bekräftats oberoende:

• VBS- och VBE-skriptfiler
• Körbara filer som EXE, BAT och CMD
• Skriptbaserade format inklusive JS och PS1

Att verifiera bilagor innan de öppnas är fortfarande ett av de mest effektiva försvaren mot skadlig kod som utnyttjar betrodda kommunikationsplattformar.