WhatsApp恶意软件活动

网络犯罪分子正利用 WhatsApp 私信传播恶意 Visual Basic 脚本 (VBScript) 文件，这些文件最终会在受感染的系统上安装合法的远程监控和管理 (RMM) 软件。此次攻击活动的目标用户遍布多个国家/地区，包括马来西亚、巴西、印度、墨西哥、新加坡、英国、西班牙、台湾、澳大利亚、俄罗斯和越南，其中马来西亚受影响的用户数量最多。

研究人员怀疑攻击者未经授权访问了多个 WhatsApp 帐户，然后利用这些被盗帐户向其联系人列表中的用户发送恶意文件。然而，劫持这些帐户的具体方法仍然未知。

伪装成商业文件

攻击者利用社会工程学手段诱骗受害者打开恶意文件。这些VBScript附件伪装成合法的商业和财务文档，并使用诸如“财务报告.vbs”和“账户报表.vbs”等极具迷惑性的文件名。为了扩大攻击范围，部分文件还使用了葡萄牙语、法语、德语和马来语等语言。

这些脚本经过高度混淆处理，包含大量注释和元数据，旨在模仿真正的 Microsoft Windows 更新组件。许多注释是用中文编写的，并引用了以下函数：

• Windows 更新模块
• 证书验证程序
• 系统完整性检查
• 部署相关流程

这些元素旨在使文件看起来合法，并阻碍安全分析。

多阶段感染链实现远程访问

恶意VBScript脚本通过“WScript.exe”执行后，会启动多阶段感染过程，下载并执行其他VBScript组件。初始脚本的主要目标是从远程服务器获取两个辅助有效载荷。其中一个有效载荷试图操纵Windows用户帐户控制（UAC）的行为，而另一个有效载荷则会下载并启动一个包含ManageEngine RMM Central安装包的ZIP压缩文件。

成功安装合法的远程监控管理 (RMM) 软件后，攻击者将获得远程访问能力，从而能够控制受害者的系统。

WhatsApp网页版和桌面版的不同执行路径

根据所使用的 WhatsApp 平台不同，感染过程也会有所不同。在 WhatsApp 网页版上，受害者需要下载文件，然后从下载文件夹或浏览器历史记录中手动打开它，误以为它是真实文件。

相比之下，WhatsApp桌面应用程序允许恶意软件直接在客户端环境中执行。进程分析显示，应用程序的后台进程“WhatsApp.Root.exe”负责启动“WScript.exe”，后者随后启动恶意攻击链。

可能与早期恶意软件活动有关

尽管此次攻击活动尚未正式归因于某个特定威胁组织，但调查人员已发现其基础设施与之前Gh0st RAT和ValleyRAT恶意软件家族相关的恶意活动存在重叠。这些相似之处表明，此次行动可能与之前的网络犯罪活动共享资源或策略。

WhatsApp 用户须知

安全专家建议用户在通过 WhatsApp 收到意外附件时保持警惕，即使消息看似来自可信联系人。以下类型的文件切勿打开，除非其合法性已得到独立确认：

• VBS 和 VBE 脚本文件
• 可执行文件，例如 EXE、BAT 和 CMD 文件。
• 脚本格式，包括 JS 和 PS1

在打开附件之前进行验证仍然是抵御利用可信通信平台的恶意软件攻击的最有效防御措施之一。