Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa kampania phishingowa wymierzona w użytkowników WhatsApp pokazuje, że komunikatory stały się pełnoprawnym kanałem dostarczania zagrożeń na stacje robocze. W analizowanym scenariuszu napastnicy podszywają się pod zaufane kontakty i rozsyłają pliki udające dokumenty biznesowe lub finansowe, które po uruchomieniu inicjują łańcuch infekcji prowadzący do zdalnego przejęcia komputera.
To kolejny przykład odejścia od tradycyjnych kampanii opartych wyłącznie na poczcie elektronicznej. W praktyce oznacza to, że organizacje muszą traktować komunikatory tak samo poważnie jak e-mail, jeśli chodzi o ochronę użytkowników, monitorowanie zdarzeń i egzekwowanie polityk bezpieczeństwa.
W skrócie
Kampania wykorzystuje przejęte konta WhatsApp do wysyłania spreparowanych plików VBScript do kontaktów ofiary. Nazwy załączników sugerują, że są to raporty finansowe, rozliczenia, noty księgowe lub inne dokumenty powiązane z działalnością biznesową, co zwiększa szansę na ich otwarcie.
- atak rozpoczyna się od wiadomości wysłanej z przejętego, wiarygodnego konta,
- załącznik ma postać silnie zaciemnionego pliku VBS,
- po uruchomieniu skrypt pobiera dodatkowe komponenty z infrastruktury atakujących,
- dochodzi do modyfikacji ustawień systemowych i osłabienia mechanizmów ochronnych,
- na końcu instalowane jest legalne narzędzie ManageEngine Endpoint Central, skonfigurowane do pracy z serwerami kontrolowanymi przez napastników.
Telemetria wskazuje, że kampania miała charakter międzynarodowy i obejmowała wiele państw, co potwierdza jej szeroki zasięg oraz wysoki poziom przygotowania operatorów.
Kontekst / historia
Ataki socjotechniczne prowadzone przez komunikatory nie są zjawiskiem nowym, jednak ta kampania wyróżnia się kilkoma cechami. Najważniejszą z nich jest wykorzystanie autentycznych, wcześniej przejętych kont WhatsApp, co znacząco podnosi wiarygodność wiadomości i utrudnia użytkownikom rozpoznanie zagrożenia.
Dodatkowo napastnicy dopasowują nazewnictwo plików do kontekstu biznesowego i lokalizują przynęty językowo pod odbiorców w różnych krajach. Zamiast wdrażać wyłącznie klasyczne złośliwe oprogramowanie, używają także legalnych narzędzi administracyjnych, co może pomagać w omijaniu części mechanizmów ochronnych opartych na reputacji aplikacji.
Według opisu kampania była obserwowana między innymi w Brazylii, Indiach, Meksyku, Singapurze, Wielkiej Brytanii, Hiszpanii, Tajwanie, Australii, Rosji, Wietnamie i Malezji. Nie potwierdzono jednak jednoznacznie, w jaki sposób dochodziło do przejmowania kont WhatsApp wykorzystywanych później do dalszej dystrybucji złośliwych plików.
Analiza techniczna
Łańcuch ataku rozpoczyna się od wiadomości w WhatsApp zawierającej silnie zaciemniony plik VBS. Sama treść wiadomości może być minimalna lub wręcz pusta, a kluczowym elementem przynęty pozostaje załącznik z nazwą przypominającą ważny dokument biznesowy, taki jak faktura, zestawienie, raport czy nota rozliczeniowa.
Po uruchomieniu pliku w systemie Windows wykonywany jest skrypt, który pobiera z infrastruktury atakującego dwa dodatkowe komponenty. Następnie dochodzi do modyfikacji rejestru systemowego w celu osłabienia kontroli uprawnień użytkownika, co ułatwia kolejne etapy infekcji i zmniejsza liczbę ostrzeżeń widocznych dla ofiary.
W dalszej fazie pobierane jest archiwum ZIP zawierające pakiet ManageEngine Endpoint Central. Sam produkt jest legalnym rozwiązaniem do centralnego zarządzania punktami końcowymi, jednak w tej kampanii zostaje zainstalowany po cichu i powiązany z serwerami zarządzającymi należącymi do operatorów ataku. W efekcie napastnicy uzyskują zdalne możliwości administracyjne na komputerze ofiary, obejmujące wykonywanie poleceń, wdrażanie kolejnych komponentów, zmiany konfiguracji oraz potencjalne poruszanie się po sieci wewnętrznej.
Na uwagę zasługuje także różnica pomiędzy klientami WhatsApp. W przypadku WhatsApp Web plik musi zostać najpierw pobrany lokalnie, natomiast w desktopowym kliencie komunikatora uruchomienie może nastąpić bezpośrednio przez Windows Script Host z użyciem procesu wscript.exe. Taki scenariusz zwiększa ryzyko skutecznego wykonania ładunku na stacjach roboczych korzystających z natywnej aplikacji.
Badacze nie przypisali kampanii z wysoką pewnością do konkretnej grupy, choć wskazali przesłanki sugerujące użycie języka chińskiego oraz częściowe nakładanie się infrastruktury z aktywnością kojarzoną wcześniej z ValleyRAT i Gh0st RAT. Na obecnym etapie są to jednak jedynie wskaźniki pomocnicze, a nie jednoznaczna atrybucja.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem tej kampanii jest uzyskanie zdalnej kontroli nad stacją roboczą przy użyciu legalnego oprogramowania administracyjnego. To istotnie zwiększa poziom ryzyka dla organizacji, ponieważ aktywność atakujących może przypominać zwykłe działania zespołów IT, co utrudnia wykrycie przez systemy ochronne i analityków SOC.
- utrata poufności danych dostępnych z poziomu konta użytkownika,
- możliwość instalacji dodatkowego malware, w tym backdoorów i narzędzi do kradzieży danych,
- wykorzystanie zainfekowanego hosta do lateralizacji w sieci wewnętrznej,
- nadużycie zaufanych procesów systemowych i legalnych aplikacji do ukrywania działań,
- wyższa skuteczność ataku dzięki wykorzystaniu przejętych kontaktów i wiarygodnych przynęt biznesowych.
Dodatkowym problemem jest psychologiczny aspekt kampanii. Użytkownicy znacznie częściej ufają wiadomościom pochodzącym od znanych osób, dlatego tradycyjne szkolenia antyphishingowe, koncentrujące się głównie na rozpoznawaniu obcych nadawców, mogą okazać się niewystarczające.
Rekomendacje
Organizacje powinny objąć komunikatory kontrolami bezpieczeństwa porównywalnymi do tych stosowanych wobec poczty elektronicznej. Dotyczy to zarówno zabezpieczeń technicznych, jak i procesów operacyjnych oraz działań edukacyjnych.
- blokować lub ograniczać wykonywanie skryptów VBS i korzystanie z Windows Script Host tam, gdzie nie jest to niezbędne,
- monitorować uruchomienia wscript.exe oraz nietypowe łańcuchy procesów inicjowane z aplikacji komunikacyjnych,
- wdrożyć reguły detekcyjne dla cichej instalacji narzędzi RMM i EPM, szczególnie gdy komunikują się z nieautoryzowaną infrastrukturą zewnętrzną,
- kontrolować zmiany w rejestrze związane z UAC i innymi ustawieniami bezpieczeństwa,
- stosować allowlisting aplikacji oraz ograniczać instalację narzędzi administracyjnych poza zatwierdzonym procesem,
- wymuszać skanowanie pobranych plików przed ich uruchomieniem,
- prowadzić kampanie awareness dotyczące zagrożeń w WhatsApp i innych komunikatorach,
- wprowadzić zasadę wtórnej weryfikacji załączników przesyłanych przez kontakty, zwłaszcza jeśli dotyczą finansów lub operacji biznesowych,
- analizować logi EDR i proxy pod kątem pobierania skryptów, archiwów ZIP oraz połączeń do nietypowych serwerów zarządzania,
- segmentować stacje robocze i ograniczać uprawnienia lokalnych użytkowników, aby zmniejszyć skutki kompromitacji.
Z perspektywy użytkownika końcowego podstawowa zasada pozostaje prosta: nawet jeśli plik pochodzi od znanego kontaktu, jego autentyczność należy potwierdzić innym kanałem przed otwarciem.
Podsumowanie
Opisana kampania phishingowa przez WhatsApp pokazuje, jak skuteczne może być połączenie socjotechniki, przejętych kont, skryptów systemowych i legalnego oprogramowania administracyjnego wykorzystanego w złośliwym celu. Atak nie opiera się wyłącznie na klasycznym malware, lecz na nadużyciu zaufanych narzędzi i naturalnych relacji między kontaktami, co zwiększa jego efektywność i utrudnia detekcję.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że monitoring powinien obejmować również komunikatory, a polityki ochronne muszą uwzględniać ograniczanie wykonywania skryptów oraz ścisłą kontrolę narzędzi zdalnego zarządzania instalowanych poza standardowym procesem operacyjnym.
Źródła
- https://www.bleepingcomputer.com/news/security/whatsapp-phishing-attack-uses-fake-business-docs-to-hack-pcs/
- https://securelist.com/