Кампанія WhatsApp щодо шкідливого програмного забезпечення
Кіберзлочинці використовують прямі повідомлення WhatsApp для розповсюдження шкідливих файлів Visual Basic Script (VBScript), які зрештою встановлюють легітимне програмне забезпечення для віддаленого моніторингу та керування (RMM) на уражені системи. Кампанія була спрямована на користувачів WhatsApp Desktop та WhatsApp Web у кількох країнах, включаючи Малайзію, Бразилію, Індію, Мексику, Сінгапур, Велику Британію, Іспанію, Тайвань, Австралію, Росію та В'єтнам. У Малайзії зафіксовано найбільшу кількість постраждалих користувачів.
Дослідники підозрюють, що зловмисники отримали несанкціонований доступ до кількох облікових записів WhatsApp, а потім використовували ці скомпрометовані профілі для надсилання шкідливих файлів людям у їхніх списках контактів. Однак точний метод, який використовувався для захоплення цих облікових записів, залишається невідомим.
Зміст
Замасковані під ділові документи
Зловмисники покладаються на соціальну інженерію, щоб переконати жертв відкрити шкідливі файли. Вкладення VBScript маскуються під законні ділові та фінансові документи та використовують переконливі назви файлів, такі як «Financial Reports.vbs» та «Account Statement.vbs». Щоб підкреслити міжнародний охоплення кампанії, деякі файли також відображаються такими мовами, як португальська, французька, німецька та малайська.
Скрипти сильно завуальовані та містять розлогі коментарі й метадані, розроблені для імітації автентичних компонентів Microsoft Windows Update. Численні коментарі написані китайською мовою та посилаються на такі функції, як:
- Модулі оновлення Windows
- Процедури перевірки сертифікатів
- Перевірки цілісності системи
- Процеси, пов'язані з розгортанням
Ці елементи призначені для того, щоб файли виглядали легітимними та перешкоджали аналізу безпеки.
Багатоетапний ланцюг зараження забезпечує віддалений доступ
Після виконання через «WScript.exe» шкідливий VBScript ініціює багатоетапний процес зараження, завантажуючи та виконуючи додаткові компоненти VBScript. Основною метою початкового скрипта є отримання двох вторинних корисних даних з віддаленого сервера. Одне корисне навантаження намагається маніпулювати поведінкою системи контролю облікових записів користувачів Windows (UAC), а інше завантажує та запускає ZIP-архів, що містить інсталяційний пакет для ManageEngine RMM Central.
Успішне встановлення легітимного програмного забезпечення RMM надає зловмисникам можливості віддаленого доступу, що дозволяє їм контролювати систему жертви.
Різні шляхи виконання у WhatsApp Web та настільному комп’ютері
Процес зараження відрізняється залежно від використовуваної платформи WhatsApp. У WhatsApp Web жертвам потрібно завантажити файл і вручну відкрити його з папки завантажень або історії браузера, вважаючи його справжнім документом.
Натомість, програма WhatsApp Desktop дозволяє шкідливому програмному забезпеченню виконуватися безпосередньо в середовищі клієнта. Аналіз процесу показує, що «WhatsApp.Root.exe», фоновий процес програми, відповідає за запуск «WScript.exe», який потім ініціює шкідливий ланцюг.
Можливі зв’язки з попередніми операціями шкідливого програмного забезпечення
Хоча кампанію офіційно не відносили до конкретної групи загроз, слідчі виявили перекриття інфраструктури з попередньою шкідливою активністю, пов'язаною з сімействами шкідливих програм Gh0st RAT та ValleyRAT. Ці подібності свідчать про те, що операція може використовувати спільні ресурси або тактики з попередніми кіберзлочинними кампаніями.
Основні запобіжні заходи для користувачів WhatsApp
Експерти з безпеки радять користувачам бути обережними, отримуючи неочікувані вкладення через WhatsApp, навіть якщо повідомлення, здається, надходять від перевірених контактів. Ніколи не слід відкривати такі типи файлів, якщо їхня легітимність не була незалежно підтверджена:
- Файли скриптів VBS та VBE
- Виконувані файли, такі як EXE, BAT та CMD
- Формати на основі скриптів, включаючи JS та PS1
Перевірка вкладень перед їх відкриттям залишається одним із найефективніших захистів від кампаній шкідливого програмного забезпечення, які використовують надійні комунікаційні платформи.