Os investigadores da Microsoft descobriram uma campanha que se aproveita dos anexos do WhatsApp para introduzir clandestinamente um script em Windows , o que permite ao atacante obter controlo remoto.
O WhatsApp disponibiliza uma aplicação para computador para Windows macOS, que os utilizadores podem sincronizar com os seus dispositivos móveis. As versões para computador do WhatsApp são geralmente utilizadas como extensões das aplicações móveis, em vez de plataformas principais. Assim, embora exista uma ampla utilização destas aplicações, a sua taxa de adoção é provavelmente significativamente inferior quando comparada com as plataformas móveis.
No ano passado, escrevemos sobre a Meta ter corrigido uma vulnerabilidade que permitia a um atacante executar código arbitrário num Windows e que estava presente em todas as versões do WhatsApp anteriores à 2.2450.6.
No entanto, os ataques identificados pela Microsoft baseiam-se exclusivamente em engenharia social. O alvo recebe um anexo no WhatsApp que parece inofensivo, mas que, na realidade, é um ficheiro .vbs (Visual Basic ) que Windows executar.
Se o atacante conseguir convencer a vítima a executar o ficheiro no Windows, o script copia Windows integradas Windows para uma pasta oculta e atribui-lhes nomes enganadores, para que pareçam inofensivas à primeira vista.
E as próprias ferramentas são legítimas, mas são utilizadas indevidamente para descarregar malware. Trata-se de uma técnica clássica do tipo «living off the land» (LOTL), que recorre ao que já se encontra no sistema, em vez de introduzir ficheiros binários de malware que seriam detetados numa verificação.
Os scripts a seguir são obtidos de fornecedores de serviços na nuvem populares, pelo que o tráfego de rede parece um acesso normal à AWS, à Tencent Cloud ou à Backblaze, em vez de um servidor suspeito que levantaria suspeitas.
Para desativar outros possíveis alarmes, o malware continua a tentar elevar os seus privilégios a administrador e, em seguida, altera os avisos do UAC (Controlo de Contas de Utilizador) e as definições do registo, para que possa efetuar alterações ao nível do sistema de forma silenciosa e manter-se ativo mesmo após reinicializações.
No final da cadeia de infeção, um MSI (Microsoft Installer) não assinado instala software de acesso remoto e outras cargas maliciosas, proporcionando ao atacante acesso contínuo e direto ao computador e aos dados.
Como se manter seguro
Para utilizadores domésticos e pequenas empresas, existem algumas medidas práticas para se manterem seguros:
- Não abra anexos não solicitados até ter verificado junto de uma fonte de confiança que são seguros.
- Ative a opção «Mostrar extensões de ficheiros» no Explorador para que um ficheiro que pareça ser uma imagem, mas que termine em .vbs ou .msi, possa ser identificado como tal.
- Utilize uma solução antimalware atualizada e em tempo real para bloquear ligações indesejadas e identificar ficheiros maliciosos.
- Descarregue software apenas do site oficial do fornecedor e verifique se os instaladores estão assinados.
- Não ignore os sinais de alerta. Avisos inesperados do UAC, software novo que aparece de repente ou o seu computador ficar lento após abrir um anexo do WhatsApp são todos motivos para realizar uma verificação com um programa antimalware e, se necessário, esteja preparado para restaurar a partir de uma cópia de segurança limpa.
- Mantenha Windows todas as outras aplicações atualizadas para evitar que vulnerabilidades conhecidas sejam exploradas.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
