Исследователи из Microsoft обнаружили кампанию, в которой злоумышленники используют вложения в WhatsApp для проникновения скрипта на Windows , что впоследствии позволяет им получить удаленный доступ к этим устройствам.
WhatsApp предлагает настольное приложение для Windows macOS, которое пользователи могут синхронизировать со своими мобильными устройствами. Настольные версии WhatsApp, как правило, используются в качестве дополнения к мобильным приложениям, а не в качестве основной платформы. Таким образом, несмотря на широкое распространение этих приложений, уровень их внедрения, вероятно, значительно ниже по сравнению с мобильными платформами.
В прошлом году мы писали о том, что Meta устранила уязвимость, позволявшую злоумышленнику запускать произвольный код в Windows ; эта уязвимость присутствовала во всех версиях WhatsApp до версии 2.2450.6.
Однако атаки, обнаруженные Microsoft, основаны исключительно на методах социальной инженерии. Получатель получает вложение в WhatsApp, которое выглядит вполне безобидно, но на самом деле представляет собой файл .vbs (Visual Basic ), который Windows запущен Windows .
Если злоумышленнику удается убедить жертву запустить файл в Windows, скрипт копирует встроенные Windows в скрытую папку и присваивает им вводящие в заблуждение имена, чтобы на первый взгляд они выглядели безобидно.
Сами по себе эти инструменты являются легальными, но их используют не по назначению для загрузки вредоносного ПО. Это классическая техника «Living off the Land» (LOTL), при которой используются уже имеющиеся в системе ресурсы вместо внедрения бинарных файлов вредоносного ПО, которые могли бы быть обнаружены при сканировании.
Следующие скрипты загружаются с популярных облачных сервисов, поэтому сетевой трафик выглядит как обычный доступ к AWS, Tencent Cloud или Backblaze, а не к какому-то подозрительному серверу, который мог бы вызвать подозрения.
Чтобы отключить другие возможные сигналы тревоги, вредоносная программа постоянно пытается получить права администратора, а затем изменяет настройки запросов UAC (контроля учетных записей пользователей) и реестра, чтобы незаметно вносить изменения на системном уровне и сохраняться после перезагрузки.
В конце цепочки заражения неподписанный файл MSI (Microsoft Installer) устанавливает программное обеспечение для удаленного доступа и другие вредоносные компоненты, предоставляя злоумышленнику постоянный прямой доступ к компьютеру и данным.
Как оставаться в безопасности
Для домашних пользователей и малых предприятий существует ряд практических мер, позволяющих обеспечить безопасность:
- Не открывайте вложения, полученные без вашего запроса, пока не убедитесь в их безопасности, обратившись к надежному источнику.
- Включите в Проводнике параметр «Показывать расширения имен файлов», чтобы файлы, которые выглядят как изображения, но имеют расширение .vbs или .msi, можно было распознать как таковые.
- Используйте актуальное антивирусное решение, работающее в режиме реального времени, чтобы блокировать нежелательные подключения и выявлять вредоносные файлы.
- Скачивайте программное обеспечение только с официального сайта поставщика и проверяйте, подписаны ли установщики.
- Не игнорируйте тревожные признаки. Неожиданные запросы UAC, внезапное появление нового ПО или замедление работы компьютера после открытия вложения в WhatsApp — все это поводы для проверки на наличие вредоносных программ и, при необходимости, для восстановления системы из чистой резервной копии.
- Обновляйте Windows все другие приложения, чтобы предотвратить использование известных уязвимостей.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
