Kampanya ng Malware sa WhatsApp
Ginagamit ng mga cybercriminal ang mga direktang mensahe ng WhatsApp upang mamahagi ng mga malisyosong Visual Basic Script (VBScript) file na sa huli ay nag-i-install ng lehitimong Remote Monitoring and Management (RMM) software sa mga nakompromisong sistema. Tinarget ng kampanya ang mga gumagamit ng WhatsApp Desktop at WhatsApp Web sa maraming bansa, kabilang ang Malaysia, Brazil, India, Mexico, Singapore, United Kingdom, Spain, Taiwan, Australia, Russia, at Vietnam. Ang Malaysia ang nakapagtala ng pinakamataas na bilang ng mga apektadong gumagamit.
Hinala ng mga mananaliksik na nakakuha ang mga umaatake ng hindi awtorisadong pag-access sa ilang mga WhatsApp account at pagkatapos ay ginamit ang mga nakompromisong profile na ito upang magpadala ng mga malisyosong file sa mga taong nasa kanilang mga listahan ng contact. Gayunpaman, ang eksaktong paraan na ginamit upang i-hijack ang mga account na ito ay nananatiling hindi alam.
Talaan ng mga Nilalaman
Nagbabalatkayo Bilang Mga Dokumento ng Negosyo
Umaasa ang mga umaatake sa social engineering upang hikayatin ang mga biktima na buksan ang mga malisyosong file. Ang mga attachment ng VBScript ay nagbabalatkayo bilang mga lehitimong dokumento sa negosyo at pananalapi at gumagamit ng mga nakakakumbinsing pangalan ng file tulad ng 'Financial Reports.vbs' at 'Account Statement.vbs.' Upang suportahan ang internasyonal na abot ng kampanya, ang ilang mga file ay lumalabas din sa mga wikang kabilang ang Portuges, Pranses, Aleman, at Malay.
Ang mga script ay lubhang natatakpan ng mga nakatagong impormasyon at naglalaman ng malawak na mga komento at metadata na idinisenyo upang gayahin ang mga tunay na bahagi ng Microsoft Windows Update. Maraming mga komento ang nakasulat sa wikang Tsino at mga function na sanggunian tulad ng:
- Mga module ng Windows Update
- Mga pamamaraan sa pagpapatunay ng sertipiko
- Mga pagsusuri sa integridad ng sistema
- Mga prosesong nauugnay sa pag-deploy
Ang mga elementong ito ay naglalayong magmukhang lehitimo ang mga file at makahadlang sa pagsusuri ng seguridad.
Nagbibigay-daan ang Multi-Stage Infection Chain sa Remote Access
Kapag naisagawa na sa pamamagitan ng 'WScript.exe,' ang malisyosong VBScript ay magsisimula ng isang proseso ng impeksyon na may maraming yugto sa pamamagitan ng pag-download at pagpapatupad ng mga karagdagang bahagi ng VBScript. Ang pangunahing layunin ng unang script ay ang kumuha ng dalawang pangalawang payload mula sa isang malayong server. Sinusubukan ng isang payload na manipulahin ang pag-uugali ng Windows User Account Control (UAC), habang ang isa naman ay nagda-download at naglulunsad ng isang ZIP archive na naglalaman ng installation package para sa ManageEngine RMM Central.
Ang matagumpay na pag-install ng lehitimong RMM software ay nagbibigay sa mga umaatake ng mga kakayahan sa malayuang pag-access, na nagbibigay-daan sa kanila na kontrolin ang sistema ng biktima.
Iba’t ibang Landas ng Pagpapatupad sa WhatsApp Web at Desktop
Nag-iiba ang proseso ng impeksyon depende sa platform ng WhatsApp na ginagamit. Sa WhatsApp Web, kinakailangang i-download ng mga biktima ang file at manu-manong buksan ito mula sa folder ng mga download o history ng browser, sa paniniwalang ito ay isang tunay na dokumento.
Sa kabaligtaran, pinapayagan ng WhatsApp Desktop application ang malware na direktang gumana sa loob ng client environment. Ipinapakita ng process analysis na ang 'WhatsApp.Root.exe,' ang background process ng application, ang siyang responsable sa paglulunsad ng 'WScript.exe,' na siyang nagpapasimula ng malisyosong chain.
Mga Posibleng Koneksyon sa mga Naunang Operasyon ng Malware
Bagama't ang kampanya ay hindi pormal na iniuugnay sa isang partikular na grupo ng banta, natukoy ng mga imbestigador ang mga pagsasanib ng imprastraktura sa mga nakaraang malisyosong aktibidad na nauugnay sa mga pamilya ng malware na Gh0st RAT at ValleyRAT. Ang mga pagkakatulad na ito ay nagmumungkahi na ang operasyon ay maaaring magbahagi ng mga mapagkukunan o taktika sa mga naunang kampanya sa cybercriminal.
Mga Mahahalagang Pag-iingat para sa mga Gumagamit ng WhatsApp
Pinapayuhan ng mga eksperto sa seguridad ang mga gumagamit na manatiling maingat kapag tumatanggap ng mga hindi inaasahang attachment sa pamamagitan ng WhatsApp, kahit na ang mga mensahe ay tila nagmula sa mga pinagkakatiwalaang contact. Ang mga sumusunod na uri ng file ay hindi dapat buksan maliban kung ang kanilang pagiging lehitimo ay nakumpirma nang nakapag-iisa:
- Mga file ng script ng VBS at VBE
- Mga executable file tulad ng EXE, BAT, at CMD
- Mga format na nakabatay sa script kabilang ang JS at PS1
Ang pag-verify ng mga attachment bago buksan ang mga ito ay nananatiling isa sa mga pinakamabisang depensa laban sa mga kampanya ng malware na nagsasamantala sa mga mapagkakatiwalaang platform ng komunikasyon.