Directe berichten verzonden via WhatsApp worden gebruikt om kwaadaardige Visual Basic Script (VBScript)-bestanden te verspreiden die leiden tot de installatie van legitieme Remote Monitoring and Management (RMM)-software.
Volgens de bevindingen van Kaspersky richt de actieve campagne zich op gebruikers van WhatsApp Desktop en WhatsApp Web in Maleisië, Brazilië, India, Mexico, Singapore, Groot-Brittannië, Spanje, Taiwan, Australië, Rusland en Vietnam. De hoogste concentratie slachtoffers is gemeld in Maleisië.
“De bedreigingsactor gebruikt misleidende bestandsnamen die zich voordoen als zakelijke en financiële documenten om ontvangers te overtuigen de bijlage te downloaden en uit te voeren”, aldus beveiligingsonderzoeker Fareed Radzi. “Eenmaal uitgevoerd, initieert het VBScript een meerfasige infectieketen die uiteindelijk resulteert in de installatie van legitieme Remote Monitoring and Management (RMM)-software, waardoor externe toegang tot het systeem van het slachtoffer mogelijk wordt gemaakt.”
Er wordt vermoed dat de bedreigingsacteur achter de operatie erin is geslaagd om heimelijk toegang te verkrijgen tot verschillende WhatsApp-accounts en deze vervolgens heeft gebruikt als distributievector voor de VBScript-bestanden onder zijn contacten. Dat gezegd hebbende, is het onduidelijk hoe deze accounts precies worden gecompromitteerd.
De zwaar versluierde VBScript-bestanden zijn verkleed als ogenschijnlijk onschuldige zakelijke en financiële documenten, met namen als ‘Financial Reports.vbs’ of ‘Rekeningoverzicht.vbs’. Sommige bestanden zijn ook in andere talen genoemd, zoals Portugees, Frans, Duits en Maleis, wat het mondiale karakter van de campagne weerspiegelt.
“Bovendien bevatten de VBScript-voorbeelden uitgebreide commentaren en metadata die bedoeld zijn om legitieme Microsoft Windows Update-componenten na te bootsen”, legt Kaspersky uit. “Veel van deze opmerkingen zijn in het Chinees geschreven en bevatten verwijzingen naar Windows Update-modules, certificaatvalidatie, systeemintegriteitscontroles en implementatiegerelateerde functionaliteit.”
Het VBScript-bestand wordt gestart met behulp van “WScript.exe”, dat vervolgens aanvullende VBScript-componenten ophaalt en uitvoert die nodig zijn voor de volgende fasen van de aanval. Het is vermeldenswaard dat de infectieketen zich iets anders gedraagt, afhankelijk van of een slachtoffer WhatsApp Web of de WhatsApp Desktop-applicatie gebruikt.
In het eerste geval is de aanval afhankelijk van het feit dat de gebruiker het bestand naar zijn systeem downloadt en het vervolgens opent vanuit de gedownloade map of via de downloadgeschiedenis van de browser, ervan uitgaande dat het een legitiem document is. In WhatsApp Desktop wordt de malware rechtstreeks binnen de applicatie uitgevoerd, waarbij de procesboom onthult dat ‘WhatsApp.Root.exe’, het achtergrondproces dat is gekoppeld aan de clientapplicatie, verantwoordelijk is voor het voortbrengen van ‘WScript.exe’.
Het primaire doel van VBScript is het downloaden van twee secundaire VBScript-payloads van een externe server, waarvan er één probeert te knoeien met het gedrag van Windows User Account Control (UAC), terwijl de andere een ZIP-bestand downloadt en uitvoert met het installatiepakket voor ManageEngine RMM Central.
De activiteit wordt nog steeds niet toegeschreven, maar het Russische cyberbeveiligingsbedrijf zei dat het infrastructuuroverlappingen (“202.61.160(.)201”) heeft gevonden met eerdere activiteiten die verband hielden met Gh0st RAT en ValleyRAT.
“Gebruikers moeten voorzichtig zijn als ze onverwachte bijlagen ontvangen via WhatsApp, zelfs als deze afkomstig lijken te zijn van bekende contacten”, aldus Kaspersky. “Script- en uitvoerbare bestandstypen zoals VBS, VBE, EXE, BAT, CMD, JS en PS1 mogen niet worden geopend tenzij hun legitimiteit onafhankelijk is geverifieerd.”
