Forscher von Microsoft haben eine Kampagne entdeckt, bei der WhatsApp-Anhänge missbraucht werden, um ein Skript auf Windows zu schleusen, wodurch der Angreifer die Fernsteuerung erlangt.
WhatsApp bietet eine Desktop-Anwendung für Windows macOS an, die Nutzer mit ihren Mobilgeräten synchronisieren können. Desktop-Versionen von WhatsApp werden in der Regel eher als Erweiterung der mobilen Apps denn als primäre Plattformen genutzt. Obwohl diese Apps weit verbreitet sind, ist ihre Akzeptanz im Vergleich zu mobilen Plattformen wahrscheinlich deutlich geringer.
Letztes Jahr berichteten wir darüber, dass Meta eine Sicherheitslücke geschlossen hat, die es einem Angreifer ermöglichte, beliebigen Code auf einem Windows auszuführen; diese Lücke war in allen WhatsApp-Versionen vor 2.2450.6 vorhanden.
Die von Microsoft entdeckten Angriffe basieren jedoch ausschließlich auf Social Engineering. Das Opfer erhält einen WhatsApp-Anhang, der harmlos aussieht, in Wirklichkeit jedoch eine .vbs-Datei (Visual Basic ) ist, die Windows ausgeführt Windows .
Gelingt es dem Angreifer, das Opfer dazu zu bringen, die Datei unter Windows auszuführen, kopiert das Skript integrierte Windows in einen versteckten Ordner und versieht sie mit irreführenden Namen, sodass sie auf den ersten Blick harmlos wirken.
Und die Tools selbst sind zwar legitim, werden aber missbraucht, um Malware herunterzuladen. Eine klassische „Living off the Land“-Technik (LOTL), bei der bereits auf dem System vorhandene Ressourcen genutzt werden, anstatt Malware-Binärdateien einzuschleusen, die bei einem Scan entdeckt würden.
Die folgenden Skripte stammen von bekannten Cloud-Anbietern, sodass der Netzwerkverkehr wie ein normaler Zugriff auf AWS, Tencent Cloud oder Backblaze aussieht und nicht wie der Zugriff auf einen dubiosen Server, der Verdacht erregen würde.
Um andere mögliche Warnmeldungen zu unterbinden, versucht die Malware immer wieder, sich Administratorrechte zu verschaffen, und manipuliert anschließend die UAC-Eingabeaufforderungen (User Account Control) sowie die Registrierungseinstellungen, damit sie unbemerkt Änderungen auf Systemebene vornehmen und auch nach einem Neustart bestehen bleiben kann.
Am Ende der Infektionskette installiert eine nicht signierte MSI-Datei (Microsoft Installer) Fernzugriffssoftware und andere Schadcode-Komponenten, wodurch der Angreifer fortlaufenden direkten Zugriff auf den Rechner und die Daten erhält.
Wie man sicher bleibt
Für Privatanwender und kleine Unternehmen gibt es einige praktische Maßnahmen, um die Sicherheit zu gewährleisten:
- Öffnen Sie keine unaufgefordert zugesandten Anhänge, bevor Sie sich nicht bei einer vertrauenswürdigen Quelle vergewissert haben, dass diese sicher sind.
- Aktivieren Sie im Explorer die Option „Dateiendungen anzeigen“, damit eine Datei, die vorgibt, ein Bild zu sein, aber auf .vbs oder .msi endet, als solche erkannt werden kann.
- Verwenden Sie eine aktuelle Echtzeit -Anti-Malware-Lösung, um unerwünschte Verbindungen zu unterbinden und schädliche Dateien zu erkennen.
- Laden Sie Software nur von der offiziellen Website des Anbieters herunter und überprüfen Sie, ob die Installationsprogramme signiert sind.
- Ignorieren Sie Warnsignale nicht. Unerwartete UAC-Aufforderungen, plötzlich auftauchende neue Software oder ein langsamer werdender Computer nach dem Öffnen eines WhatsApp-Anhangs sind allesamt Gründe für einen Anti-Malware-Scan – und seien Sie gegebenenfalls darauf vorbereitet, das System anhand eines sauberen Backups wiederherzustellen.
- Halten Sie Windows alle anderen Anwendungen auf dem neuesten Stand, um zu verhindern, dass bekannte Sicherheitslücken ausgenutzt werden.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
