Los mensajes directos enviados a través de WhatsApp se utilizan para distribuir archivos maliciosos de Visual Basic Script (VBScript) que conducen a la instalación de software legítimo de administración y monitoreo remoto (RMM).
Según los hallazgos de Kaspersky Lab, la actividad estaba dirigida a usuarios de WhatsApp Desktop y WhatsApp Web en Malasia, Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia y Vietnam. Se informa que Malasia tiene el mayor número de víctimas.
«Los atacantes están utilizando nombres de archivos engañosos disfrazados de documentos comerciales o financieros para atraer a los destinatarios a descargar y ejecutar el archivo adjunto», dijo el investigador de seguridad Fareed Raj. «Una vez ejecutado, VBScript inicia una cadena de infección de varios pasos que culmina con la instalación de un software legítimo de administración y monitoreo remoto (RMM), que permite el acceso remoto al sistema de la víctima».
Se sospecha que los atacantes detrás de esta operación obtuvieron acceso no autorizado a múltiples cuentas de WhatsApp y las utilizaron como vectores para distribuir archivos VBScript entre sus contactos. Sin embargo, no está claro exactamente cómo se ven comprometidas estas cuentas.
Los archivos VBScript altamente ofuscados utilizan nombres como «Financial Reports.vbs» o «Account Statement.vbs» para disfrazarse de documentos comerciales o financieros aparentemente inofensivos. Algunos archivos tienen nombres en otros idiomas, como portugués, francés, alemán y malayo, para reflejar la naturaleza global de la campaña.
«Además, la muestra de VBScript contiene extensos comentarios y metadatos destinados a imitar componentes originales de Microsoft Windows Update», explicó Kaspersky. «Muchos de estos comentarios están en chino e incluyen referencias a módulos de Windows Update, validación de certificados, comprobaciones de integridad del sistema y características relacionadas con la implementación».
El archivo VBScript se inicia utilizando ‘WScript.exe’ para recuperar y ejecutar componentes VBScript adicionales necesarios para la siguiente etapa del ataque. Tenga en cuenta que la cadena de infección funciona de forma un poco diferente según si la víctima utiliza WhatsApp Web o la aplicación de escritorio de WhatsApp.
En el primer caso, el ataque implica que un usuario descargue un archivo a su sistema, lo abra desde la carpeta descargada o mediante el historial de descargas del navegador y asuma que es un documento legítimo. En WhatsApp Desktop, el malware se ejecuta directamente dentro de la aplicación y el árbol de procesos muestra que ‘WhatsApp.Root.exe’, un proceso en segundo plano asociado con la aplicación cliente, es responsable de generar ‘WScript.exe’.
El objetivo principal de VBScript es descargar dos cargas útiles secundarias de VBScript desde un servidor remoto, una de las cuales intenta alterar el comportamiento del Control de cuentas de usuario (UAC) de Windows y la otra descarga y ejecuta un archivo ZIP que contiene el paquete de instalación de ManageEngine RMM Central.
Aunque esta actividad sigue sin identificarse, la empresa rusa de ciberseguridad dijo que descubrió una superposición de infraestructura (“202.61.160(.)201”) con actividad previa relacionada con Gh0st RAT y ValleyRAT.
«Los usuarios deben tener cuidado si reciben un archivo adjunto inesperado a través de WhatsApp, incluso si parece haber sido enviado por un contacto conocido», dijo Kaspersky. «Los archivos de script y ejecutables como VBS, VBE, EXE, BAT, CMD, JS y PS1 no deben abrirse a menos que su legitimidad haya sido verificada de forma independiente».
Source link
