Onderzoekers van Microsoft hebben een campagne ontdekt waarbij misbruik wordt gemaakt van bijlagen in WhatsApp om een script op Windows te installeren, waardoor de aanvaller op afstand de controle over het systeem kan overnemen.
WhatsApp biedt een desktop-app voor Windows macOS, die gebruikers kunnen synchroniseren met hun mobiele apparaten. Desktopversies van WhatsApp worden over het algemeen gebruikt als aanvulling op mobiele apps en niet als primaire platformen. Hoewel deze apps op grote schaal worden gebruikt, ligt het gebruik ervan waarschijnlijk aanzienlijk lager in vergelijking met mobiele platformen.
Vorig jaar schreven we dat Meta een kwetsbaarheid had verholpen waardoor een aanvaller willekeurige code kon uitvoeren op een Windows ; deze kwetsbaarheid kwam voor in alle WhatsApp-versies vóór 2.2450.6.
De aanvallen die Microsoft heeft ontdekt, zijn echter uitsluitend gebaseerd op social engineering. Het slachtoffer ontvangt een bijlage via WhatsApp die er onschuldig uitziet, maar in werkelijkheid is het een .vbs-bestand (Visual Basic ) dat Windows worden uitgevoerd.
Als de aanvaller het slachtoffer ertoe weet te bewegen het bestand onder Windows uit te voeren, kopieert het script ingebouwde Windows naar een verborgen map en geeft het deze misleidende namen, zodat ze op het eerste gezicht onschuldig lijken.
En de tools zelf zijn legitiem, maar ze worden misbruikt om malware te downloaden. Een klassieke ‘living off the land’ (LOTL)-techniek, waarbij gebruik wordt gemaakt van wat er al op het systeem staat, in plaats van malwarebestanden te introduceren die bij een scan zouden worden opgemerkt.
De volgende scripts zijn afkomstig van populaire cloudproviders, zodat het netwerkverkeer eruitziet als normale toegang tot AWS, Tencent Cloud of Backblaze, in plaats van naar een verdachte server die argwaan zou wekken.
Om andere mogelijke waarschuwingen uit te schakelen, blijft de malware pogingen ondernemen om zichzelf beheerdersrechten te verlenen, waarna hij de UAC-meldingen (User Account Control) en registerinstellingen aanpast, zodat hij ongemerkt wijzigingen op systeemniveau kan doorvoeren die ook na een herstart behouden blijven.
Aan het einde van de infectieketen installeert een niet-ondertekende MSI (Microsoft Installer) software voor toegang op afstand en andere schadelijke code, waardoor de aanvaller blijvend directe toegang krijgt tot de computer en de gegevens.
Hoe blijf ik veilig
Voor thuisgebruikers en kleine bedrijven zijn er enkele praktische maatregelen om veilig te blijven:
- Open geen ongevraagde bijlagen voordat u bij een betrouwbare bron hebt gecontroleerd of ze veilig zijn.
- Schakel de optie ‘Bestandsnaamextensies weergeven’ in Verkenner in, zodat een bestand dat zich voordoet als afbeelding maar eindigt op .vbs of .msi, als zodanig kan worden herkend.
- Gebruik een up-to-date realtime anti-malwareoplossing om ongewenste verbindingen te blokkeren en schadelijke bestanden op te sporen.
- Download software alleen van de officiële website van de leverancier en controleer of de installatieprogramma’s zijn ondertekend.
- Negeer waarschuwingssignalen niet. Onverwachte UAC-meldingen, software die plotseling verschijnt of een computer die traag wordt na het openen van een WhatsApp-bijlage: dit zijn allemaal redenen om een antimalwarescan uit te voeren en, indien nodig, klaar te staan om je systeem te herstellen vanaf een schone back-up.
- Houd Windows alle andere programma’s up-to-date om te voorkomen dat bekende kwetsbaarheden worden misbruikt.
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
