Μια νέα και ανησυχητική εκστρατεία κακόβουλου λογισμικού στοχεύει χρήστες του WhatsApp σε πολλές χώρες, με παραπλανητικά μηνύματα που ενθαρρύνουν την εκτέλεση αρχείων VBScript. Οι επιθέσεις αυτές μπορεί να έχουν σοβαρές συνέπειες, επιτρέποντας στους εισβολείς απομακρυσμένη πρόσβαση στους υπολογιστές των θυμάτων.
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ονόματα αρχείων που φαίνονται ως νόμιμα επιχειρηματικά έγγραφα, συχνά στα οποία οι παραλήπτες έχουν πρόσβαση μέσω παραβιασμένων λογαριασμών WhatsApp φίλων ή συνεργατών.
Καθώς οι χρήστες κατεβάζουν και εκτελούν τα κακόβουλα συνημμένα, εγκαθίσταται ο λογισμικός ManageEngine Endpoint Central, ο οποίος χρησιμοποιείται από τους επαγγελματίες IT για τη διαχείριση συστημάτων. Αυτή η αλυσίδα επιθέσεων αποκαλύπτει πόσο πρόσφορο ήταν το έδαφος για τους κακόβουλους επιτιθέμενους.
Σύμφωνα με αναφορές από την Kaspersky, η καμπάνια κακόβουλου λογισμικού έχει επεκταθεί σε χώρες όπως η Βραζιλία, η Ινδία, το Μεξικό, η Σιγκαπούρη, το Ηνωμένο Βασίλειο και η Ισπανία, επιβεβαιώνοντας την παγκόσμια κλίμακα του προβλήματος.
Δομή της Επίθεσης
Η Kaspersky αναφέρει ότι οι επιθέσεις ξεκινούν με αποστολή μηνυμάτων από παραβιασμένα WhatsApp Accounts. Κάθε μήνυμα περιέχει ένα ανυπόστατο αρχείο VBS, που είναι σχεδιασμένο ώστε να προκαλέσει απροσεξία και περιέργεια στους παραλήπτες, καθώς εμφανίζεται ως οικονομική αναφορά ή κατάσταση λογαριασμού.
Αξιοσημείωτο είναι ότι τα ονόματα των αρχείων έχουν προσαρμοστεί σε διάφορες γλώσσες, επισημαίνοντας τη διεθνή διάσταση των επιθέσεων.
Πηγή: Kaspersky
“Μέσα από τις αναφορές θυμάτων που συλλέξαμε, φαίνεται ότι οι εγκληματίες έχουν παραβιάσει αρκετούς λογαριασμούς WhatsApp και τα έχουν χρησιμοποιήσει για να διαδώσουν τα κακόβουλα αρχεία”, συμπληρώνει η Kaspersky. Η Kaspersky εξηγεί.
Μέχρι τώρα, η μέθοδος που χρησιμοποιήθηκε για την παραβίαση των λογαριασμών παραμένει ασαφής.
Αν ο χρήστης κατεβάσει και ανοίξει το αρχείο, το VBScript προχωρά σε περαιτέρω λήψη κακόβουλων αρχείων, τα οποία ενδέχεται να καταργήσουν τις προστασίες του υπολογιστή και τελικά να εγκαταστήσουν το ManageEngine Endpoint Central, δίνοντας στους εισβολείς έλεγχο του συστήματος.
Πηγή: Kaspersky
Η εγκατάσταση του κακόβουλου λογισμικού γίνεται σιωπηλά και αυτοματοποιημένα, συνδέοντας το θησαυρό του με διακομιστές που ελέγχονται από τους εισβολείς για απομακρυσμένη πρόσβαση.
Επιπλέον, η Kaspersky παρατηρεί ότι η διαδικασία εκτέλεσης διαφέρει ελαφρώς ανάλογα με το αν το αρχείο αποστέλλεται μέσω WhatsApp Web ή WhatsApp Desktop, προσδιορίζοντας έτσι διαφορετικές πιστώσεις ασφάλειας.
Πηγή: Kaspersky
Ακόμη κι αν δεν έχει τεκμηριωθεί η προέλευση των επιθέσεων, υπάρχουν ενδείξεις χρήσης κινεζικών γλωσσών και ταυτοποίησης υποδομών που είχαν συνδεθεί με άλλες εγκληματικές δραστηριότητες.
Παρόλα αυτά, δεν υπάρχουν αρκετά αποδεικτικά στοιχεία για να εξαχθούν ασφαλή συμπεράσματα.
Συστήνεται στους χρήστες του WhatsApp να είναι ιδιαίτερα προσεκτικοί με τα αρχεία που λαμβάνουν, ακόμα και αν προέρχονται από γνωστούς επαφές, και να τα επιβεβαιώνουν μέσω εναλλακτικών καναλιών πριν τα ανοίξουν. Κάθε ληφθέν αρχείο καλό θα είναι να σαρωθεί με ενημερωμένο antivirus πριν την εκτέλεση του.
Οι ομάδες ασφαλείας καταγράφουν το 54% των επιτυχημένων επιθέσεων και ειδοποιούν μόλις το 14%. Τα υπόλοιπα κινούνται στο περιβάλλον σας αόρατα.
Η λευκή βίβλος Picus δείχνει πώς η προσομοίωση παραβίασης και επίθεσης δοκιμάζει τους κανόνες SIEM και EDR σας, έτσι ώστε οι απειλές να σταματήσουν να ξεφεύγουν από τον εντοπισμό.
