Chiến dịch phần mềm độc hại WhatsApp

Tội phạm mạng đang sử dụng tin nhắn trực tiếp trên WhatsApp để phát tán các tập tin mã độc Visual Basic Script (VBScript), từ đó cài đặt phần mềm Giám sát và Quản lý Từ xa (RMM) hợp pháp lên các hệ thống bị xâm nhập. Chiến dịch này nhắm mục tiêu vào người dùng WhatsApp Desktop và WhatsApp Web ở nhiều quốc gia, bao gồm Malaysia, Brazil, Ấn Độ, Mexico, Singapore, Vương quốc Anh, Tây Ban Nha, Đài Loan, Úc, Nga và Việt Nam. Malaysia ghi nhận số lượng người dùng bị ảnh hưởng cao nhất.

Các nhà nghiên cứu nghi ngờ rằng tin tặc đã truy cập trái phép vào một số tài khoản WhatsApp và sau đó lợi dụng các tài khoản bị xâm phạm này để gửi các tập tin độc hại cho những người trong danh bạ của chúng. Tuy nhiên, phương pháp chính xác được sử dụng để chiếm đoạt các tài khoản này vẫn chưa được biết.

Được ngụy trang dưới dạng tài liệu kinh doanh

Kẻ tấn công dựa vào kỹ thuật thao túng tâm lý để thuyết phục nạn nhân mở các tập tin độc hại. Các tệp đính kèm VBScript được ngụy trang thành các tài liệu kinh doanh và tài chính hợp pháp và sử dụng các tên tệp rất thuyết phục như 'Financial Reports.vbs' và 'Account Statement.vbs'. Để mở rộng phạm vi hoạt động quốc tế, một số tập tin cũng xuất hiện bằng các ngôn ngữ khác như tiếng Bồ Đào Nha, tiếng Pháp, tiếng Đức và tiếng Mã Lai.

Các đoạn mã này được mã hóa rất kỹ và chứa nhiều chú thích và siêu dữ liệu được thiết kế để bắt chước các thành phần cập nhật Windows chính hãng của Microsoft. Nhiều chú thích được viết bằng tiếng Trung và đề cập đến các hàm như:

• Mô-đun cập nhật Windows
• Quy trình xác thực chứng chỉ
• Kiểm tra tính toàn vẹn hệ thống
• Các quy trình liên quan đến triển khai

Những yếu tố này nhằm mục đích làm cho các tập tin trông có vẻ hợp pháp và gây khó khăn cho việc phân tích bảo mật.

Chuỗi lây nhiễm nhiều giai đoạn cho phép truy cập từ xa

Sau khi được thực thi thông qua 'WScript.exe', đoạn mã VBScript độc hại sẽ khởi động quá trình lây nhiễm nhiều giai đoạn bằng cách tải xuống và thực thi các thành phần VBScript bổ sung. Mục tiêu chính của kịch bản ban đầu là lấy hai phần mềm độc hại phụ từ máy chủ từ xa. Một phần mềm cố gắng thao túng hành vi Kiểm soát Tài khoản Người dùng Windows (UAC), trong khi phần mềm kia tải xuống và khởi chạy một tệp lưu trữ ZIP chứa gói cài đặt cho ManageEngine RMM Central.

Việc cài đặt thành công phần mềm RMM hợp pháp cho phép kẻ tấn công truy cập từ xa, từ đó kiểm soát hệ thống của nạn nhân.

Các đường dẫn thực thi khác nhau trên WhatsApp Web và phiên bản dành cho máy tính để bàn

Quá trình lây nhiễm khác nhau tùy thuộc vào nền tảng WhatsApp đang được sử dụng. Trên WhatsApp Web, nạn nhân được yêu cầu tải xuống tệp và mở thủ công từ thư mục tải xuống hoặc lịch sử trình duyệt, tin rằng đó là một tài liệu chính hãng.

Ngược lại, ứng dụng WhatsApp Desktop cho phép phần mềm độc hại thực thi trực tiếp trong môi trường máy khách. Phân tích tiến trình cho thấy 'WhatsApp.Root.exe', tiến trình nền của ứng dụng, chịu trách nhiệm khởi chạy 'WScript.exe', sau đó khởi động chuỗi độc hại.

Có thể có mối liên hệ với các hoạt động phần mềm độc hại trước đó.

Mặc dù chiến dịch này chưa được chính thức quy cho một nhóm tội phạm mạng cụ thể nào, nhưng các nhà điều tra đã xác định được sự trùng lặp về cơ sở hạ tầng với các hoạt động độc hại trước đây liên quan đến các họ phần mềm độc hại Gh0st RAT và ValleyRAT. Những điểm tương đồng này cho thấy hoạt động này có thể chia sẻ tài nguyên hoặc chiến thuật với các chiến dịch tội phạm mạng trước đó.

Các biện pháp phòng ngừa cần thiết dành cho người dùng WhatsApp

Các chuyên gia bảo mật khuyên người dùng nên thận trọng khi nhận được các tệp đính kèm không mong muốn qua WhatsApp, ngay cả khi tin nhắn có vẻ đến từ những người liên lạc đáng tin cậy. Không bao giờ nên mở các loại tệp sau đây trừ khi đã xác nhận độc lập tính hợp pháp của chúng:

• Tệp kịch bản VBS và VBE
• Các tệp thực thi như EXE, BAT và CMD.
• Các định dạng dựa trên kịch bản, bao gồm JS và PS1.

Kiểm tra tệp đính kèm trước khi mở vẫn là một trong những biện pháp phòng vệ hiệu quả nhất chống lại các chiến dịch phần mềm độc hại lợi dụng các nền tảng liên lạc đáng tin cậy.