Pesquisadores da Microsoft descobriram uma campanha que se aproveita de anexos do WhatsApp para introduzir secretamente um script em Windows , o que permite ao invasor obter controle remoto.
O WhatsApp oferece um aplicativo para desktop para Windows macOS, que os usuários podem sincronizar com seus dispositivos móveis. As versões para desktop do WhatsApp são geralmente utilizadas como extensões dos aplicativos móveis, e não como plataformas principais. Assim, embora haja um uso generalizado desses aplicativos, sua taxa de adoção é provavelmente significativamente menor quando comparada às plataformas móveis.
No ano passado, escrevemos sobre a Meta ter corrigido uma vulnerabilidade que permitia que um invasor executasse código arbitrário em um Windows , presente em todas as versões do WhatsApp anteriores à 2.2450.6.
Os ataques identificados pela Microsoft, no entanto, baseiam-se exclusivamente em engenharia social. O alvo recebe um anexo no WhatsApp que parece inofensivo, mas que, na verdade, é um arquivo .vbs (Visual Basic ) que Windows executar.
Se o invasor conseguir convencer a vítima a executar o arquivo no Windows, o script copia Windows integradas Windows para uma pasta oculta e atribui a elas nomes enganosos, de modo que pareçam inofensivas à primeira vista.
E as próprias ferramentas são legítimas, mas são utilizadas indevidamente para baixar malware. Trata-se de uma técnica clássica do tipo “living off the land” (LOTL), que aproveita o que já está no sistema em vez de introduzir arquivos binários de malware que seriam detectados em uma verificação.
Os scripts a seguir foram extraídos de provedores de nuvem populares, de modo que o tráfego de rede parece um acesso normal à AWS, à Tencent Cloud ou à Backblaze, em vez de um servidor suspeito que levantaria suspeitas.
Para desativar outros possíveis alertas, o malware continua tentando obter privilégios de administrador e, em seguida, altera as solicitações do UAC (Controle de Conta de Usuário) e as configurações do Registro, de modo a poder realizar alterações no nível do sistema de forma silenciosa e manter-se ativo mesmo após reinicializações.
No final da cadeia de infecção, um MSI (Microsoft Installer) não assinado instala um software de acesso remoto e outras cargas maliciosas, proporcionando ao invasor acesso contínuo e direto à máquina e aos dados.
Como se manter seguro
Para usuários domésticos e pequenas empresas, há algumas medidas práticas para se manterem seguros:
- Não abra anexos não solicitados antes de verificar com uma fonte confiável se eles são seguros.
- Ative a opção “Mostrar extensões de arquivo” no Explorer para que um arquivo que pareça ser uma imagem, mas termine em .vbs ou .msi, possa ser identificado como tal.
- Use uma solução antimalware atualizada e em tempo real para bloquear conexões indesejadas e identificar arquivos maliciosos.
- Baixe o software apenas do site oficial do fornecedor e verifique se os instaladores estão assinados.
- Não ignore os sinais de alerta. Solicitações inesperadas do UAC, novos programas que surgem do nada ou o computador ficando lento após abrir um anexo do WhatsApp são motivos para realizar uma verificação com um programa antimalware e, se necessário, esteja preparado para restaurar a partir de um backup limpo.
- Mantenha Windows todos os outros aplicativos atualizados para evitar que vulnerabilidades conhecidas sejam exploradas.
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
