Badacze z firmy Microsoft wykryli kampanię, w ramach której wykorzystuje się załączniki w aplikacji WhatsApp do podszywania skryptu na Windows , co pozwala atakującemu przejąć nad nimi zdalną kontrolę.
WhatsApp oferuje aplikację komputerową na Windows macOS, którą użytkownicy mogą zsynchronizować ze swoimi urządzeniami mobilnymi. Komputerowe wersje WhatsApp są zazwyczaj wykorzystywane jako rozszerzenie aplikacji mobilnych, a nie jako główne platformy. Tak więc, mimo że aplikacje te są szeroko stosowane, wskaźnik ich popularności jest prawdopodobnie znacznie niższy w porównaniu z platformami mobilnymi.
W zeszłym roku pisaliśmy o tym, że firma Meta usunęła lukę w zabezpieczeniach, która umożliwiała atakującemu uruchomienie dowolnego kodu w Windows i która występowała we wszystkich wersjach aplikacji WhatsApp starszych niż 2.2450.6.
Ataki wykryte przez firmę Microsoft opierają się jednak wyłącznie na technikach socjotechnicznych. Odbiorca otrzymuje załącznik w aplikacji WhatsApp, który wygląda na zupełnie nieszkodliwy, ale w rzeczywistości jest to plik .vbs (Visual Basic ), który Windows uruchomić.
Jeśli atakującemu uda się przekonać ofiarę do uruchomienia pliku w Windows, skrypt kopiuje wbudowane Windows do ukrytego folderu i nadaje im mylące nazwy, tak aby na pierwszy rzut oka wyglądały na nieszkodliwe.
Same narzędzia są legalne, ale są wykorzystywane do pobierania złośliwego oprogramowania. To klasyczna technika typu „living off the land” (LOTL), która wykorzystuje elementy już obecne w systemie zamiast wprowadzać pliki binarne złośliwego oprogramowania, które zostałyby wykryte podczas skanowania.
Poniższe skrypty pochodzą od popularnych dostawców usług w chmurze, dzięki czemu ruch sieciowy wygląda jak zwykły dostęp do AWS, Tencent Cloud lub Backblaze, a nie do jakiegoś podejrzanego serwera, który wzbudziłby podejrzenia.
Aby wyłączyć inne potencjalne alarmy, złośliwe oprogramowanie nieustannie próbuje uzyskać uprawnienia administratora, a następnie modyfikuje komunikaty kontroli konta użytkownika (UAC) oraz ustawienia rejestru, aby móc w tle wprowadzać zmiany na poziomie systemu i zachować swoje działanie po ponownym uruchomieniu komputera.
Na końcu łańcucha infekcji niepodpisany plik MSI (Microsoft Installer) instaluje oprogramowanie umożliwiające zdalny dostęp oraz inne elementy szkodliwe, zapewniając atakującemu stały, bezpośredni dostęp do komputera i danych.
Jak zachować bezpieczeństwo
Użytkownicy prywatni i małe firmy mogą podjąć kilka praktycznych kroków, aby zapewnić sobie bezpieczeństwo:
- Nie otwieraj załączników, których nie zamówiłeś, dopóki nie upewnisz się u zaufanego źródła, że są one bezpieczne.
- Włącz opcję „Pokaż rozszerzenia nazw plików” w Eksploratorze, aby pliki, które rzekomo są obrazami, ale mają rozszerzenia .vbs lub .msi, można było odpowiednio zidentyfikować.
- Korzystaj z aktualnego oprogramowania antywirusowego działającego w czasie rzeczywistym, aby blokować niepożądane połączenia i wykrywać złośliwe pliki.
- Oprogramowanie pobieraj wyłącznie z oficjalnej strony producenta i upewnij się, że instalatory są podpisane.
- Nie ignoruj sygnałów ostrzegawczych. Nieoczekiwane monity UAC, nagłe pojawienie się nowego oprogramowania lub spowolnienie działania komputera po otwarciu załącznika z WhatsApp to powody, dla których warto przeprowadzić skanowanie antywirusowe, a w razie potrzeby przygotować się do przywrócenia systemu z czystej kopii zapasowej.
- Należy aktualizować Windows wszystkie inne aplikacje, aby zapobiec wykorzystaniu znanych luk w zabezpieczeniach.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
