Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft ostrzegł przed nową kampanią złośliwego oprogramowania, w której atakujący wykorzystują WhatsApp jako kanał dostarczania plików Visual Basic Script. Po uruchomieniu załączonego skryptu ofiara inicjuje wieloetapowy łańcuch infekcji prowadzący do utrwalenia obecności w systemie, eskalacji uprawnień oraz wdrożenia komponentów zdalnego dostępu.
To kolejny przykład ataku łączącego socjotechnikę, techniki living-off-the-land oraz użycie zaufanych usług chmurowych do ukrywania złośliwej aktywności. Tego rodzaju kampanie są szczególnie niebezpieczne, ponieważ wykorzystują legalne narzędzia systemowe i komunikację, która na pierwszy rzut oka może wyglądać jak normalna aktywność użytkownika lub administratora.
W skrócie
- Kampania była obserwowana od końca lutego 2026 roku.
- Atak rozpoczyna się od dostarczenia pliku VBS przez WhatsApp.
- Po uruchomieniu skrypt tworzy ukryte katalogi i kopiuje legalne narzędzia Windows pod zmienionymi nazwami.
- Kolejne komponenty są pobierane z infrastruktury chmurowej.
- Malware manipuluje mechanizmami UAC i rejestrem systemowym.
- W końcowej fazie instalowane są niepodpisane pakiety MSI zapewniające trwały dostęp do systemu.
Kontekst / historia
Dystrybucja malware przez komunikatory nie jest nowym zjawiskiem, ale jej skuteczność rośnie wraz z powszechnym wykorzystaniem aplikacji mobilnych i komunikacyjnych w codziennej pracy. WhatsApp cieszy się wysokim zaufaniem użytkowników, dlatego stanowi atrakcyjny wektor początkowego dostępu dla cyberprzestępców.
W opisywanej kampanii przestępcy połączyli ten kanał z technikami ukrywania aktywności w systemie Windows. Zamiast od razu dostarczać klasyczne pliki wykonywalne, wykorzystują natywne binaria systemowe po ich skopiowaniu i zmianie nazw. Dzięki temu ograniczają ryzyko wykrycia przez narzędzia bazujące na prostych wskaźnikach kompromitacji, takich jak nazwa pliku czy podstawowe reguły sygnaturowe.
Dodatkowym utrudnieniem dla zespołów bezpieczeństwa jest użycie popularnych usług chmurowych jako repozytoriów dla kolejnych etapów infekcji. Taki ruch może być postrzegany jako rutynowa komunikacja z zaufanym dostawcą, co zmniejsza szansę na szybką blokadę po stronie sieci.
Analiza techniczna
Łańcuch ataku rozpoczyna się od uruchomienia złośliwego pliku VBS dostarczonego przez WhatsApp. Skrypt tworzy ukryte foldery w lokalizacji C:\ProgramData, a następnie zapisuje tam przemianowane wersje legalnych narzędzi Windows. W analizowanym scenariuszu curl.exe otrzymuje nazwę netapi.dll, natomiast bitsadmin.exe zostaje zapisany jako sc.exe.
Choć nazwy plików są zmienione, ich wewnętrzne metadane PE nadal wskazują oryginalne binaria. To ważny artefakt dla SOC i rozwiązań EDR, ponieważ rozbieżność między nazwą pliku a polem OriginalFileName może wskazywać na próbę ukrycia aktywności przy użyciu legalnych narzędzi systemowych.
Po uzyskaniu przyczółka skrypt wykorzystuje przemianowane binaria do pobrania kolejnych komponentów z usług chmurowych. Są wśród nich dodatkowe skrypty VBS pełniące rolę dropperów i elementów sterujących dalszym przebiegiem infekcji. Dzięki temu atakujący ograniczają liczbę podejrzanych artefaktów obecnych lokalnie na początku ataku i przenoszą część logiki do kolejnych etapów.
Kolejna faza obejmuje eskalację uprawnień i utrwalenie infekcji. Malware manipuluje ustawieniami User Account Control oraz modyfikuje wpisy rejestru odpowiadające za zachowanie UAC dla kont administracyjnych. Celem jest osłabienie mechanizmów ochronnych i doprowadzenie do uruchamiania poleceń z podniesionymi uprawnieniami bez skutecznej interwencji użytkownika.
W analizie wskazano także wielokrotne próby uruchamiania cmd.exe z uprawnieniami administratora aż do momentu powodzenia lub ręcznego przerwania procesu. Tego rodzaju zachowanie może być istotnym sygnałem telemetrycznym wskazującym na próbę obejścia kontroli uprawnień.
W końcowej fazie kampanii instalowane są niepodpisane pakiety MSI. Taka metoda jest szczególnie groźna, ponieważ pliki MSI są często utożsamiane z legalnym oprogramowaniem wdrażanym w środowiskach firmowych. Wśród obserwowanych komponentów znalazły się pakiety imitujące lub dostarczające narzędzia umożliwiające trwały zdalny dostęp, w tym rozwiązania pokroju AnyDesk.
Z perspektywy obrony kluczowe są następujące wskaźniki:
- rozbieżność między nazwą pliku a metadanymi PE, zwłaszcza polem
OriginalFileName, - nietypowe użycie
wscript.exe,cscript.exe,mshta.exe,curl.exeibitsadmin.exew ukrytych katalogach lub niestandardowych ścieżkach, - pobieranie plików VBS i MSI z usług chmurowych przez procesy, które w danym kontekście biznesowym nie powinny wykonywać takich operacji,
- modyfikacje rejestru związane z UAC i powtarzalne próby uzyskania podwyższonych uprawnień.
Konsekwencje / ryzyko
Ryzyko związane z tą kampanią jest wysokie, ponieważ atak zaczyna się od pozornie wiarygodnej wiadomości w komunikatorze, a następnie szybko przechodzi do działań post-exploitation. Pojedyncze uruchomienie skryptu może doprowadzić do trwałej kompromitacji hosta, osłabienia lokalnych zabezpieczeń i wdrożenia narzędzi do zdalnego sterowania systemem.
Szczególnie niebezpieczne jest obejście lub osłabienie UAC, ponieważ otwiera drogę do działań administracyjnych bez pełnej świadomości użytkownika. W praktyce może to oznaczać instalację dodatkowych narzędzi, wyłączenie ochrony, utrwalenie infekcji oraz przygotowanie środowiska pod dalszy ruch boczny w sieci.
Dla organizacji skutki mogą obejmować utratę poufności danych, eksfiltrację informacji, wykorzystanie przejętej stacji do kolejnych ataków, a także ryzyko wdrożenia ransomware na dalszym etapie operacji. Kampania pokazuje również, że samo zaufanie do popularnych usług chmurowych nie może być traktowane jako wystarczająca przesłanka bezpieczeństwa.
Rekomendacje
Organizacje powinny ograniczyć możliwość uruchamiania interpreterów skryptowych z niezaufanych lokalizacji, zwłaszcza wscript.exe, cscript.exe i mshta.exe. W środowiskach korporacyjnych warto wdrożyć mechanizmy Application Control oraz reguły Attack Surface Reduction blokujące wykonywanie skryptów i pobranych treści inicjowanych przez VBScript lub JavaScript.
Należy monitorować rozbieżności pomiędzy nazwą pliku wykonywalnego a jego metadanymi PE. Tego typu telemetria może pomóc szybko wychwycić sytuacje, w których legalne narzędzia systemowe zostały przemianowane w celu ukrycia aktywności. Równolegle warto alertować na tworzenie ukrytych katalogów w C:\ProgramData oraz niestandardowe użycie narzędzi pobierających pliki.
Zespoły bezpieczeństwa powinny zwiększyć inspekcję ruchu do usług chmurowych, szczególnie wtedy, gdy źródłem połączeń są interpretery skryptowe lub procesy uruchomione w nietypowym kontekście. Istotna jest korelacja procesu, linii poleceń, ścieżki pliku oraz innych sygnałów kompromitacji.
Konieczne jest także monitorowanie zmian w rejestrze związanych z UAC oraz prób wielokrotnego uruchamiania procesów z podwyższonymi uprawnieniami. Każda nietypowa modyfikacja ustawień odpowiedzialnych za zachowanie monitu UAC powinna być traktowana jako incydent wysokiego ryzyka i powinna uruchamiać automatyczne działania obronne, w tym izolację hosta.
Od strony organizacyjnej warto regularnie szkolić użytkowników, że komunikatory prywatne i biznesowe mogą być wykorzystywane jako kanał dostarczania malware. Pracownicy nie powinni uruchamiać plików skryptowych otrzymanych w wiadomościach, nawet jeśli nadawca wydaje się wiarygodny lub znany.
Podsumowanie
Opisana kampania pokazuje, jak skuteczne może być połączenie prostego wektora socjotechnicznego z zaawansowanym łańcuchem infekcji. WhatsApp został użyty jako kanał początkowego dostępu, a kolejne etapy oparto na legalnych narzędziach Windows, hostingu w chmurze oraz pakietach MSI maskujących końcowy payload.
Dla zespołów blue team kluczowe znaczenie mają kontrola interpreterów skryptów, analiza metadanych PE, monitoring zmian w UAC i rejestrze oraz korelacja ruchu sieciowego z kontekstem procesów. Kampania jest kolejnym dowodem na to, że zaufane aplikacje i zaufana infrastruktura coraz częściej stają się elementem skutecznych operacji malware.