I ricercatori di Microsoft hanno individuato una campagna che sfrutta gli allegati di WhatsApp per introdurre di nascosto uno script nei Windows , consentendo all'autore dell'attacco di ottenere il controllo remoto.
WhatsApp offre un'applicazione desktop per Windows macOS, che gli utenti possono sincronizzare con i propri dispositivi mobili. Le versioni desktop di WhatsApp vengono generalmente utilizzate come estensioni delle app mobili piuttosto che come piattaforme principali. Pertanto, sebbene queste app siano ampiamente utilizzate, il loro tasso di adozione è probabilmente notevolmente inferiore rispetto a quello delle piattaforme mobili.
L'anno scorso abbiamo riferito che Meta aveva risolto una vulnerabilità che consentiva a un malintenzionato di eseguire codice arbitrario su un Windows e che era presente in tutte le versioni di WhatsApp precedenti alla 2.2450.6.
Gli attacchi individuati da Microsoft, tuttavia, si basano esclusivamente sul social engineering. Il destinatario riceve un allegato su WhatsApp che sembra abbastanza innocuo, ma che in realtà è un file .vbs (Visual Basic ) che Windows eseguire.
Se l'autore dell'attacco riesce a convincere la vittima ad aprire il file su Windows, lo script copia Windows integrati Windows in una cartella nascosta e assegna loro nomi fuorvianti, in modo che a prima vista sembrino innocui.
E gli strumenti in sé sono legittimi, ma vengono utilizzati in modo improprio per download . Si tratta di una classica tecnica "living off the land" (LOTL), che sfrutta ciò che è già presente nel sistema invece di introdurre file binari di malware che verrebbero individuati durante una scansione.
I seguenti script provengono da noti fornitori di servizi cloud, quindi il traffico di rete appare come un normale accesso ad AWS, Tencent Cloud o Backblaze, anziché a qualche server sospetto che potrebbe destare sospetti.
Per disattivare altri possibili avvisi, il malware continua a tentare di acquisire i privilegi di amministratore, quindi modifica le richieste di conferma dell'UAC (Controllo account utente) e le impostazioni del Registro di sistema in modo da poter apportare modifiche a livello di sistema in modo invisibile e persistere anche dopo il riavvio.
Alla fine della catena di infezione, un file MSI (Microsoft Installer) non firmato installa un software di accesso remoto e altri payload, garantendo all'autore dell'attacco un accesso continuo e diretto al computer e ai dati.
Come stare al sicuro
Per gli utenti privati e le piccole imprese, esistono alcune misure pratiche da adottare per garantire la sicurezza:
- Non aprire allegati non richiesti finché non ti sei assicurato, tramite una fonte attendibile, che siano sicuri.
- Attiva l'opzione "Mostra estensioni dei nomi dei file " in Esplora risorse, in modo che un file che sembra essere un'immagine ma termina con .vbs o .msi possa essere identificato come tale.
- Utilizza una soluzione anti-malware aggiornata e in tempo reale per bloccare le connessioni indesiderate e individuare i file dannosi.
- Download solo dal sito ufficiale del produttore e verifica che i programmi di installazione siano firmati.
- Non ignorare i segnali di allarme. Richieste UAC inaspettate, nuovi programmi che compaiono all'improvviso o un rallentamento del computer dopo l'apertura di un allegato di WhatsApp sono tutti motivi per eseguire una scansione antimalware e, se necessario, essere pronti a ripristinare il sistema da un backup pulito.
- Mantieni aggiornati Windows tutte le altre applicazioni per evitare che vengano sfruttate le vulnerabilità note.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
