Kampania na WhatsApp wykorzystuje VBScript i fałszywe dokumenty do wdrożenia narzędzia RMM - Security Bez Tabu

Kampania na WhatsApp wykorzystuje VBScript i fałszywe dokumenty do wdrożenia narzędzia RMM

Cybersecurity news

Wprowadzenie do problemu / definicja

Nowa kampania malware pokazuje, że komunikatory internetowe pozostają skutecznym kanałem ataku w operacjach socjotechnicznych. W analizowanym scenariuszu cyberprzestępcy rozsyłają przez WhatsApp pliki VBScript podszywające się pod dokumenty biznesowe i finansowe, aby nakłonić odbiorców do ich uruchomienia.

Celem ataku nie jest typowy destrukcyjny malware, ale uzyskanie zdalnego dostępu do urządzenia ofiary poprzez instalację legalnego oprogramowania klasy Remote Monitoring and Management. Taki model działania utrudnia wykrycie, ponieważ końcowy komponent może wyglądać jak zwykłe narzędzie administracyjne wykorzystywane w środowiskach firmowych.

W skrócie

  • Atak rozpoczyna się od wiadomości WhatsApp zawierających złośliwe pliki VBS udające dokumenty służbowe.
  • Po uruchomieniu skrypt inicjuje wieloetapowy łańcuch infekcji i pobiera kolejne komponenty.
  • Końcowym etapem jest instalacja ManageEngine RMM Central, czyli legalnego narzędzia do zdalnego zarządzania.
  • Kampania była obserwowana w wielu regionach świata, w tym w Europie, Azji i Ameryce Łacińskiej.
  • Użycie legalnego oprogramowania zwiększa szanse na obejście części mechanizmów detekcyjnych.

Kontekst / historia

Nadużywanie legalnych narzędzi administracyjnych przez cyberprzestępców nie jest nowym zjawiskiem, jednak połączenie tej techniki z komunikatorami znacząco zwiększa skuteczność socjotechniki. Użytkownicy częściej ufają wiadomościom pochodzącym od znanych kontaktów niż klasycznym kampaniom e-mailowym, co czyni WhatsApp atrakcyjnym wektorem dystrybucji.

Badacze wskazują, że część wiadomości mogła być wysyłana z przejętych kont, co dodatkowo podnosi wiarygodność załączników. Nazwy plików były dostosowane do różnych regionów i języków, sugerując szeroką skalę operacji oraz próbę lepszego dopasowania treści do odbiorcy. Infrastruktura i schemat działania wykazują też podobieństwa do wcześniejszych kampanii kojarzonych z rodzinami zagrożeń takimi jak Gh0st RAT i ValleyRAT, choć sama aktywność nie została oficjalnie przypisana.

Analiza techniczna

Technicznie kampania bazuje na zaciemnionych plikach VBScript uruchamianych przez proces WScript.exe. To ważne, ponieważ skrypty VBS wciąż mogą być wykonywane natywnie w systemach Windows, a w wielu organizacjach nie są całkowicie blokowane politykami bezpieczeństwa.

Po uruchomieniu pierwszego pliku następuje pobranie kolejnych komponentów z serwera zdalnego. Łańcuch infekcji ma charakter wieloetapowy i prowadzi do wykonania dodatkowych ładunków odpowiedzialnych m.in. za manipulację zachowaniem mechanizmów User Account Control oraz pobranie archiwum ZIP z instalatorem ManageEngine RMM Central.

Istotna jest również różnica między scenariuszem dla WhatsApp Web i WhatsApp Desktop. W przypadku wersji webowej użytkownik zwykle musi pobrać plik i uruchomić go z katalogu pobrań lub z historii przeglądarki. W aplikacji desktopowej złośliwy plik może zostać uruchomiony bezpośrednio z poziomu klienta, a w drzewie procesów można zaobserwować powiązanie między aplikacją WhatsApp a procesem WScript.exe. Dla zespołów SOC jest to cenna wskazówka detekcyjna.

Na uwagę zasługuje także warstwa kamuflażu. Próbki zawierały komentarze i metadane imitujące komponenty Windows Update oraz odwołania do certyfikatów, integralności systemu i procesów wdrożeniowych. Takie maskowanie utrudnia analizę ręczną i może obniżyć czujność zarówno użytkowników, jak i mniej doświadczonych analityków.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem udanego ataku jest uzyskanie trwałego zdalnego dostępu do urządzenia ofiary przy użyciu narzędzia, które samo w sobie nie musi być złośliwe. Taki dostęp może zostać wykorzystany do rozpoznania środowiska, kradzieży danych, ruchu bocznego, wdrażania kolejnych ładunków lub utrzymania obecności w sieci przez dłuższy czas.

Ryzyko rośnie, ponieważ komunikatory często pozostają poza ścisłym zakresem monitoringu bezpieczeństwa, a legalne narzędzia RMM bywają dopuszczone do użycia w organizacji. Dodatkowo wykorzystanie przejętych lub znanych kontaktów zwiększa wiarygodność wiadomości i obniża poziom ostrożności odbiorcy. W efekcie nawet firmy dobrze chroniące pocztę elektroniczną mogą pozostać podatne na podobne kampanie prowadzone poza kanałem e-mail.

Rekomendacje

Organizacje powinny rozważyć blokowanie lub silne ograniczenie wykonywania skryptów takich jak VBS, VBE, JS, PS1, BAT czy CMD na stacjach roboczych użytkowników. Jeśli ich użycie jest operacyjnie niezbędne, warto objąć je kontrolą aplikacyjną, podpisem cyfrowym oraz szczegółowym monitoringiem.

  • Monitorować uruchomienia WScript.exe i CScript.exe inicjowane przez komunikatory, przeglądarki i katalogi pobrań.
  • Wykrywać pobieranie dodatkowych skryptów i archiwów z niezaufanych hostów.
  • Analizować nietypowe zmiany związane z UAC i eskalacją uprawnień.
  • Kontrolować instalacje narzędzi RMM poza standardowym procesem wdrożeniowym.
  • Regularnie przeglądać listę dozwolonych narzędzi zdalnego dostępu i usuwać nieuzasadnione wyjątki.

Od strony użytkownika kluczowe pozostaje szkolenie z rozpoznawania podejrzanych załączników przesyłanych przez komunikatory, nawet jeśli pochodzą od znanej osoby. Dobrą praktyką jest potwierdzanie autentyczności pliku innym kanałem oraz włączenie widoczności pełnych rozszerzeń plików w systemie Windows.

Podsumowanie

Opisana kampania potwierdza rosnące znaczenie komunikatorów jako kanału dostarczania malware oraz utrwalający się trend nadużywania legalnych narzędzi administracyjnych do działań ofensywnych. Zamiast klasycznego trojana sprawcy wykorzystują VBScript jako mechanizm startowy, a następnie wdrażają legalne oprogramowanie RMM zapewniające zdalny dostęp do systemu.

Dla obrońców oznacza to konieczność rozszerzenia monitoringu poza pocztę elektroniczną, zaostrzenia kontroli wykonywania skryptów oraz dokładniejszego nadzoru nad użyciem narzędzi zdalnego zarządzania. To właśnie połączenie skutecznej socjotechniki i legalnych komponentów sprawia, że podobne kampanie są szczególnie niebezpieczne.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/06/whatsapp-vbscript-campaign-uses-fake.html
  2. Kaspersky Securelist — https://securelist.com/whatsapp-vbscript-campaign-manageengine-rmm/117144/
  3. Microsoft Learn — Windows Script Host — https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/wscript
  4. ManageEngine RMM Central — https://www.manageengine.com/remote-monitoring-management/