แคมเปญมัลแวร์ WhatsApp

โดย Mezo ใน มัลแวร์

แปลเป็น:

กลุ่มอาชญากรไซเบอร์กำลังใช้ข้อความส่วนตัวใน WhatsApp เพื่อเผยแพร่ไฟล์ Visual Basic Script (VBScript) ที่เป็นอันตราย ซึ่งในที่สุดจะติดตั้งซอฟต์แวร์ Remote Monitoring and Management (RMM) ที่ถูกต้องตามกฎหมายลงบนระบบที่ถูกโจมตี แคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ WhatsApp Desktop และ WhatsApp Web ในหลายประเทศ รวมถึงมาเลเซีย บราซิล อินเดีย เม็กซิโก สิงคโปร์ สหราชอาณาจักร สเปน ไต้หวัน ออสเตรเลีย รัสเซีย และเวียดนาม โดยมาเลเซียมีจำนวนผู้ใช้ที่ได้รับผลกระทบมากที่สุด

นักวิจัยสันนิษฐานว่าผู้โจมตีได้เข้าถึงบัญชี WhatsApp หลายบัญชีโดยไม่ได้รับอนุญาต จากนั้นจึงใช้โปรไฟล์ที่ถูกบุกรุกเหล่านั้นส่งไฟล์ที่เป็นอันตรายไปยังผู้คนในรายชื่อผู้ติดต่อ อย่างไรก็ตาม วิธีการที่ใช้ในการบุกรุกบัญชีเหล่านั้นยังคงไม่เป็นที่ทราบแน่ชัด

สารบัญ

ปลอมแปลงเป็นเอกสารทางธุรกิจ

ผู้โจมตีใช้กลวิธีทางสังคมเพื่อโน้มน้าวให้เหยื่อเปิดไฟล์ที่เป็นอันตราย ไฟล์แนบ VBScript ถูกปลอมแปลงเป็นเอกสารทางธุรกิจและการเงินที่ถูกต้องตามกฎหมาย และใช้ชื่อไฟล์ที่น่าเชื่อถือ เช่น 'Financial Reports.vbs' และ 'Account Statement.vbs' เพื่อสนับสนุนการเข้าถึงในระดับสากล ไฟล์บางไฟล์จึงปรากฏในภาษาต่างๆ เช่น โปรตุเกส ฝรั่งเศส เยอรมัน และมาเลย์

สคริปต์เหล่านี้ถูกเข้ารหัสอย่างซับซ้อนและมีคำอธิบายประกอบและข้อมูลเมตาจำนวนมาก ซึ่งออกแบบมาเพื่อเลียนแบบส่วนประกอบการอัปเดตของ Microsoft Windows อย่างแท้จริง คำอธิบายประกอบจำนวนมากเขียนเป็นภาษาจีนและอ้างอิงถึงฟังก์ชันต่างๆ เช่น:

โมดูลการอัปเดต Windows
ขั้นตอนการตรวจสอบความถูกต้องของใบรับรอง
การตรวจสอบความสมบูรณ์ของระบบ
กระบวนการที่เกี่ยวข้องกับการติดตั้งใช้งาน

องค์ประกอบเหล่านี้มีจุดประสงค์เพื่อให้ไฟล์ดูน่าเชื่อถือและขัดขวางการวิเคราะห์ด้านความปลอดภัย

ห่วงโซ่การติดเชื้อหลายขั้นตอนช่วยให้สามารถเข้าถึงจากระยะไกลได้

เมื่อเรียกใช้งานผ่าน 'WScript.exe' แล้ว สคริปต์ VBScript ที่เป็นอันตรายจะเริ่มต้นกระบวนการติดเชื้อหลายขั้นตอนโดยการดาวน์โหลดและเรียกใช้ส่วนประกอบ VBScript เพิ่มเติม วัตถุประสงค์หลักของสคริปต์เริ่มต้นคือการดึงเพย์โหลดรองสองตัวจากเซิร์ฟเวอร์ระยะไกล เพย์โหลดหนึ่งพยายามเปลี่ยนแปลงพฤติกรรมการควบคุมบัญชีผู้ใช้ของ Windows (UAC) ในขณะที่อีกเพย์โหลดหนึ่งดาวน์โหลดและเรียกใช้ไฟล์ ZIP ที่มีแพ็คเกจการติดตั้งสำหรับ ManageEngine RMM Central

การติดตั้งซอฟต์แวร์ RMM ที่ถูกต้องตามกฎหมายสำเร็จ จะทำให้ผู้โจมตีสามารถเข้าถึงระบบจากระยะไกลได้ ส่งผลให้พวกเขาสามารถควบคุมระบบของเหยื่อได้

เส้นทางการทำงานที่แตกต่างกันใน WhatsApp เวอร์ชันเว็บและเวอร์ชันเดสก์ท็อป

ขั้นตอนการติดไวรัสจะแตกต่างกันไปตามแพลตฟอร์ม WhatsApp ที่ใช้งาน บน WhatsApp Web ผู้เสียหายจะต้องดาวน์โหลดไฟล์และเปิดไฟล์นั้นด้วยตนเองจากโฟลเดอร์ดาวน์โหลดหรือประวัติการเข้าชมของเบราว์เซอร์ โดยเข้าใจผิดว่าเป็นเอกสารจริง

ในทางตรงกันข้าม แอปพลิเคชัน WhatsApp บนเดสก์ท็อปอนุญาตให้มัลแวร์ทำงานโดยตรงภายในสภาพแวดล้อมของไคลเอ็นต์ การวิเคราะห์กระบวนการแสดงให้เห็นว่า 'WhatsApp.Root.exe' ซึ่งเป็นกระบวนการเบื้องหลังของแอปพลิเคชัน เป็นผู้รับผิดชอบในการเรียกใช้ 'WScript.exe' จากนั้นจึงเริ่มกระบวนการที่เป็นอันตรายต่อไป

ความเชื่อมโยงที่เป็นไปได้กับปฏิบัติการมัลแวร์ก่อนหน้านี้

แม้ว่ายังไม่มีการระบุกลุ่มภัยคุกคามใดอย่างเป็นทางการว่าเป็นผู้ก่อเหตุ แต่ผู้ตรวจสอบได้พบความซ้ำซ้อนของโครงสร้างพื้นฐานกับกิจกรรมที่เป็นอันตรายก่อนหน้านี้ที่เกี่ยวข้องกับตระกูลมัลแวร์ Gh0st RAT และ ValleyRAT ความคล้ายคลึงกันเหล่านี้ชี้ให้เห็นว่าการปฏิบัติการนี้อาจใช้ทรัพยากรหรือกลยุทธ์ร่วมกับแคมเปญอาชญากรไซเบอร์ก่อนหน้านี้

ข้อควรระวังที่สำคัญสำหรับผู้ใช้งาน WhatsApp

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ใช้ระมัดระวังเมื่อได้รับไฟล์แนบที่ไม่คาดคิดผ่าน WhatsApp แม้ว่าข้อความเหล่านั้นจะดูเหมือนมาจากผู้ติดต่อที่น่าเชื่อถือก็ตาม ไฟล์ประเภทต่อไปนี้ไม่ควรเปิดเว้นแต่จะได้รับการยืนยันความถูกต้องจากแหล่งอื่นแล้ว:

ไฟล์สคริปต์ VBS และ VBE
ไฟล์ปฏิบัติการ เช่น EXE, BAT และ CMD
รูปแบบที่ใช้สคริปต์ ได้แก่ JS และ PS1

การตรวจสอบไฟล์แนบก่อนเปิดยังคงเป็นหนึ่งในวิธีการป้องกันที่มีประสิทธิภาพมากที่สุดต่อการโจมตีด้วยมัลแวร์ที่ใช้ประโยชน์จากแพลตฟอร์มการสื่อสารที่เชื่อถือได้

ค้นหา

เปลี่ยนภูมิภาค