Uma campanha de malware em andamento está mirando usuários do WhatsApp em vários países com mensagens enganosas que induzem ao download de arquivos VBScript e levam ao acesso remoto ao sistema.
O threat actor usa nomes de arquivos que sugerem documentos empresariais e financeiros enviados por contatos da própria vítima, cujas contas haviam sido comprometidas.
Ao baixar e executar os anexos maliciosos, o destinatário inicia uma cadeia de infecção que termina com a instalação do legítimo ManageEngine Endpoint Central, software usado por administradores de TI para gerenciar sistemas a partir de um painel centralizado.
Dados de telemetria da empresa de cibersegurança Kaspersky mostram que a campanha se espalha por Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia, Vietnã e Malásia.
A Kaspersky informa que os ataques começam com mensagens enviadas a partir de contas comprometidas que contêm apenas um arquivo VBS fortemente ofuscado.
Esses arquivos recebem nomes que os fazem parecer relatórios financeiros, extratos de cobrança, avisos de conta e documentos semelhantes, provavelmente criados para chamar a atenção da vítima e levá-la a abrir o arquivo.
Os nomes dos arquivos também aparecem localizados em vários idiomas, o que reforça o alcance global da campanha.
“Com base nas evidências coletadas de várias vítimas por meio de relatos em redes sociais e amostras enviadas, a Kaspersky concluiu que o threat actor obteve acesso a várias contas do WhatsApp e as usou para distribuir os arquivos maliciosos VBScript aos contatos presentes nas listas de contatos das contas comprometidas”, afirma a empresa.
“No momento em que este texto é escrito, o método exato usado para comprometer essas contas do WhatsApp ainda é desconhecido.”
Se a vítima baixar e abrir o arquivo em um sistema Windows, o VBScript busca dois scripts adicionais na infraestrutura do invasor, que por sua vez desativam as proteções do UAC por meio de modificações no Registro e baixam um arquivo ZIP contendo o programa ManageEngine Endpoint Central.
O software é instalado silenciosamente em segundo plano e configurado para se conectar a servidores de gerenciamento controlados pelo atacante, o que lhes dá acesso de administração remota ao computador da vítima.
A Kaspersky observa que, quando o arquivo VBScript inicial é entregue via WhatsApp Web, ele precisa ser baixado.
Já no cliente WhatsApp Desktop, o arquivo pode ser executado diretamente pelo Windows Script Host, por meio do wscript.exe.
Embora a Kaspersky não atribua os ataques a um threat actor específico, os pesquisadores encontraram sinais de uso do idioma chinês e sobreposição de infraestrutura com IPs previamente associados à atividade do ValleyRAT e do Gh0st RAT.
Ainda assim, não há evidências suficientes para uma atribuição com alto grau de confiança.
Usuários do WhatsApp são orientados a tratar com cautela arquivos enviados por contatos, mesmo por pessoas de confiança, e a sempre verificar esses anexos por outros meios antes de abri-los.
Todos os arquivos baixados devem ser verificados com um antivírus atualizado antes de qualquer execução.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...