WhatsApp惡意軟體活動

網路犯罪分子正利用 WhatsApp 私訊傳播惡意 Visual Basic 腳本 (VBScript) 文件，這些文件最終會在受感染的系統上安裝合法的遠端監控和管理 (RMM) 軟體。這次攻擊活動的目標用戶遍及多個國家/地區，包括馬來西亞、巴西、印度、墨西哥、新加坡、英國、西班牙、台灣、澳洲、俄羅斯和越南，其中馬來西亞受影響的用戶數量最多。

研究人員懷疑攻擊者未經授權存取了多個 WhatsApp 帳戶，然後利用這些被盜帳戶向其聯絡人清單中的用戶發送惡意檔案。然而，劫持這些帳戶的具體方法仍然未知。

偽裝成商業文件

攻擊者利用社會工程手段誘騙受害者開啟惡意檔案。這些VBScript附件偽裝成合法的商業和財務文檔，並使用諸如「財務報告.vbs」和「帳戶報表.vbs」等極具迷惑性的文件名。為了擴大攻擊範圍，部分文件也使用了葡萄牙語、法語、德語和馬來語等語言。

這些腳本經過高度混淆處理，包含大量註釋和元數據，旨在模仿真正的 Microsoft Windows 更新元件。許多註釋是用中文編寫的，並引用了以下函數：

• Windows 更新模組
• 證書驗證程序
• 系統完整性檢查
• 部署相關流程

這些元素旨在使文件看起來合法，並阻礙安全分析。

多階段感染鏈實現遠端訪問

惡意VBScript腳本透過「WScript.exe」執行後，會啟動多階段感染過程，下載並執行其他VBScript元件。初始腳本的主要目標是從遠端伺服器取得兩個輔助有效載荷。其中一個有效載荷試圖操縱Windows使用者帳戶控制（UAC）的行為，而另一個有效載荷則會下載並啟動包含ManageEngine RMM Central安裝套件的ZIP壓縮檔案。

成功安裝合法的遠端監控管理 (RMM) 軟體後，攻擊者將獲得遠端存取能力，從而能夠控制受害者的系統。

WhatsApp網頁版和桌面版的不同執行路徑

根據所使用的 WhatsApp 平台不同，感染過程也會有所不同。在 WhatsApp 網頁版上，受害者需要下載文件，然後從下載資料夾或瀏覽器歷史記錄中手動開啟它，誤以為它是真實文件。

相較之下，WhatsApp桌面應用程式允許惡意軟體直接在客戶端環境中執行。進程分析顯示，應用程式的背景進程“WhatsApp.Root.exe”負責啟動“WScript.exe”，後者隨後啟動惡意攻擊鏈。

可能與早期惡意軟體活動有關

儘管此次攻擊活動尚未正式歸因於某個特定威脅組織，但調查人員已發現其基礎設施與先前Gh0st RAT和ValleyRAT惡意軟體家族相關的惡意活動存在重疊。這些相似之處表明，此行動可能與先前的網路犯罪活動共享資源或策略。

WhatsApp 用戶須知

安全專家建議用戶在透過 WhatsApp 收到意外附件時保持警惕，即使訊息看似來自可信任聯絡人。以下類型的文件切勿打開，除非其合法性已獲得獨立確認：

• VBS 和 VBE 腳本文件
• 可執行文件，例如 EXE、BAT 和 CMD 文件。
• 腳本格式，包括 JS 和 PS1

在打開附件之前進行驗證仍然是抵禦利用可信任通訊平台的惡意軟體攻擊的最有效防禦措施之一。