📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma campanha contínua de malware tem como alvo os usuários do WhatsApp em vários países com mensagens enganosas que enviam arquivos VBScript, levando ao acesso remoto ao sistema.
O autor da ameaça está usando nomes de arquivos que indicam documentos comerciais e financeiros entregues pelos contatos da vítima, cujas contas foram comprometidas.
Ao baixar e executar anexos maliciosos, o destinatário inicia uma cadeia de infecção que leva à instalação do legítimo ManageEngine Endpoint Central, que é usado por administradores de TI para gerenciar sistemas a partir de um painel centralizado.
Dados de telemetria da empresa de segurança cibernética Kaspersky mostram que a campanha se espalha pelo Brasil, Índia, México, Cingapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia, Vietnã e Malásia.
Cadeia de ataque
A Kaspersky relata que os ataques começam com mensagens enviadas de contas comprometidas que contêm apenas um arquivo VBS altamente ofuscado.
Esses arquivos recebem nomes que os fazem parecer relatórios financeiros, extratos de cobrança, avisos de contas e documentos semelhantes que podem chamar a atenção do alvo e levá-lo a abrir o arquivo.
Os nomes dos arquivos também estão localizados em vários idiomas, confirmando ainda mais o alcance global da campanha.
Amostras de mensagens maliciosasFonte: Kaspersky
“Com base nas evidências coletadas de várias vítimas por meio de relatórios de mídia social e amostras enviadas, podemos concluir que o autor da ameaça obteve acesso a várias contas do WhatsApp e as usou para distribuir arquivos VBScript maliciosos aos contatos nas listas de contatos dos usuários comprometidos”, explica Kaspersky.
“No momento em que este artigo foi escrito, o método exato usado para comprometer essas contas do WhatsApp ainda era desconhecido.”
Se a vítima baixar e abrir o arquivo no Windows, o VBScript busca dois scripts adicionais da infraestrutura do invasor, que, por sua vez, desativam as proteções UAC por meio de modificações no Registro e baixam um arquivo ZIP contendo o programa ManageEngine Endpoint Central.
Conteúdo do arquivo ZIPFonte: Kaspersky
O software é instalado silenciosamente em segundo plano e configurado para se conectar a servidores de gerenciamento controlados pelo invasor, dando-lhes acesso de administração remota no computador da vítima.
A Kaspersky observa que quando o arquivo VBScript inicial é entregue via WhatsApp Web, ele deve ser baixado, mas quando aberto no cliente WhatsApp Desktop, pode ser executado diretamente via Windows Script Host (wscript.exe).
Visão geral da cadeia de ataqueFonte: Kaspersky
Embora a Kaspersky não atribua os ataques a um ator de ameaça específico, os pesquisadores encontraram sinais de uso da língua chinesa e sobreposição de infraestrutura com IPs anteriormente associados à atividade do ValleyRAT e do Gh0st RAT.
No entanto, não há evidências suficientes para que a atribuição de alta confiança seja possível.
Os usuários do WhatsApp são aconselhados a tratar os arquivos enviados por contatos, mesmo os de confiança, com cautela e sempre verificá-los por meios secundários.
Todos os arquivos baixados devem ser verificados com um antivírus atualizado antes de serem executados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
O autor da ameaça está usando nomes de arquivos que indicam documentos comerciais e financeiros entregues pelos contatos da vítima, cujas contas foram comprometidas.
Ao baixar e executar anexos maliciosos, o destinatário inicia uma cadeia de infecção que leva à instalação do legítimo ManageEngine Endpoint Central, que é usado por administradores de TI para gerenciar sistemas a partir de um painel centralizado.
Dados de telemetria da empresa de segurança cibernética Kaspersky mostram que a campanha se espalha pelo Brasil, Índia, México, Cingapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia, Vietnã e Malásia.
Cadeia de ataque
A Kaspersky relata que os ataques começam com mensagens enviadas de contas comprometidas que contêm apenas um arquivo VBS altamente ofuscado.
Esses arquivos recebem nomes que os fazem parecer relatórios financeiros, extratos de cobrança, avisos de contas e documentos semelhantes que podem chamar a atenção do alvo e levá-lo a abrir o arquivo.
Os nomes dos arquivos também estão localizados em vários idiomas, confirmando ainda mais o alcance global da campanha.
Amostras de mensagens maliciosasFonte: Kaspersky
“Com base nas evidências coletadas de várias vítimas por meio de relatórios de mídia social e amostras enviadas, podemos concluir que o autor da ameaça obteve acesso a várias contas do WhatsApp e as usou para distribuir arquivos VBScript maliciosos aos contatos nas listas de contatos dos usuários comprometidos”, explica Kaspersky.
“No momento em que este artigo foi escrito, o método exato usado para comprometer essas contas do WhatsApp ainda era desconhecido.”
Se a vítima baixar e abrir o arquivo no Windows, o VBScript busca dois scripts adicionais da infraestrutura do invasor, que, por sua vez, desativam as proteções UAC por meio de modificações no Registro e baixam um arquivo ZIP contendo o programa ManageEngine Endpoint Central.
Conteúdo do arquivo ZIPFonte: Kaspersky
O software é instalado silenciosamente em segundo plano e configurado para se conectar a servidores de gerenciamento controlados pelo invasor, dando-lhes acesso de administração remota no computador da vítima.
A Kaspersky observa que quando o arquivo VBScript inicial é entregue via WhatsApp Web, ele deve ser baixado, mas quando aberto no cliente WhatsApp Desktop, pode ser executado diretamente via Windows Script Host (wscript.exe).
Visão geral da cadeia de ataqueFonte: Kaspersky
Embora a Kaspersky não atribua os ataques a um ator de ameaça específico, os pesquisadores encontraram sinais de uso da língua chinesa e sobreposição de infraestrutura com IPs anteriormente associados à atividade do ValleyRAT e do Gh0st RAT.
No entanto, não há evidências suficientes para que a atribuição de alta confiança seja possível.
Os usuários do WhatsApp são aconselhados a tratar os arquivos enviados por contatos, mesmo os de confiança, com cautela e sempre verificá-los por meios secundários.
Todos os arquivos baixados devem ser verificados com um antivírus atualizado antes de serem executados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #ataque #de #phishing #no #whatsapp #usa #documentos #comerciais #falsos #para #hackear #pcs
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário