Los mensajes directos enviados a través de WhatsApp se utilizan para distribuir archivos maliciosos de Visual Basic Script (VBScript) que conducen a la instalación de software legítimo de gestión y supervisión remota (RMM).

Según los hallazgos de Kaspersky, la campaña activa está dirigida a usuarios de WhatsApp Desktop y WhatsApp Web en Malasia, Brasil, India, México, Singapur, Reino Unido, España, Taiwán, Australia, Rusia y Vietnam. La mayor concentración de víctimas se registró en Malasia.

«El actor de amenazas utiliza nombres de archivos engañosos que se hacen pasar por documentos comerciales y financieros para persuadir a los destinatarios a descargar y ejecutar el archivo adjunto», dijo el investigador de seguridad Fareed Radzi. dicho. «Una vez ejecutado, VBScript inicia una cadena de infección de varias etapas que finalmente resulta en la instalación de un software legítimo de monitoreo y administración remota (RMM), que permite el acceso remoto al sistema de la víctima».

Se sospecha que el actor de amenazas detrás de la operación logró obtener acceso subrepticio a varias cuentas de WhatsApp y luego las utilizó como vector de distribución de los archivos VBScript entre sus contactos. Dicho esto, no está claro exactamente cómo se ven comprometidas estas cuentas.

Los archivos VBScript, muy ofuscados, están disfrazados de documentos comerciales y financieros aparentemente inofensivos, utilizando nombres como «Financial Reports.vbs» o «Account Statement.vbs». Algunos de los archivos también tienen nombres en otros idiomas, como portugués, francés, alemán y malayo, lo que refleja la naturaleza global de la campaña.

«Además, las muestras de VBScript contienen extensos comentarios y metadatos destinados a imitar componentes legítimos de Microsoft Windows Update», explicó Kaspersky. «Muchos de estos comentarios están escritos en chino e incluyen referencias a módulos de Windows Update, validación de certificados, comprobaciones de integridad del sistema y funciones relacionadas con la implementación».

El archivo VBScript se inicia utilizando «WScript.exe», que luego busca y ejecuta componentes VBScript adicionales necesarios para las siguientes etapas del ataque. Vale la pena señalar que la cadena de infección se comporta de manera un poco diferente según si la víctima usa WhatsApp Web o la aplicación WhatsApp Desktop.

En el caso del primero, el ataque se basa en que el usuario descargue el archivo en su sistema y luego lo abra desde la carpeta descargada o mediante el historial de descargas del navegador, asumiendo que es un documento legítimo. En WhatsApp Desktop, el malware se ejecuta directamente dentro de la aplicación, y el árbol de procesos revela que «WhatsApp.Root.exe», el proceso en segundo plano asociado con la aplicación cliente, es responsable de generar «WScript.exe».

El objetivo principal de VBScript es descargar dos cargas útiles de VBScript secundarias desde un servidor remoto, una de las cuales intenta alterar el comportamiento del Control de cuentas de usuario (UAC) de Windows, mientras que la otra descarga y ejecuta un archivo ZIP que contiene el paquete de instalación de ManageEngine RMM Central.

La actividad sigue sin ser atribuida, sin embargo, la empresa rusa de ciberseguridad dijo que encontró superposiciones de infraestructura («202.61.160[.]201») con actividad previa vinculada a Gh0st RAT y ValleyRAT.

«Los usuarios deben tener cuidado al recibir archivos adjuntos inesperados a través de WhatsApp, incluso cuando parezcan provenir de contactos conocidos», dijo Kaspersky. «Los tipos de archivos ejecutables y scripts como VBS, VBE, EXE, BAT, CMD, JS y PS1 no deben abrirse a menos que su legitimidad se haya verificado de forma independiente».