🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Mensagens diretas enviadas via WhatsApp estão sendo usadas para distribuir arquivos maliciosos do Visual Basic Script (VBScript) que levam à instalação de software legítimo de monitoramento e gerenciamento remoto (RMM).
De acordo com as descobertas da Kaspersky, a campanha ativa tem como alvo usuários do WhatsApp Desktop e WhatsApp Web na Malásia, Brasil, Índia, México, Cingapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã. A maior concentração de vítimas foi relatada na Malásia.
“O ator da ameaça usa nomes de arquivos enganosos disfarçados de documentos comerciais e financeiros para persuadir os destinatários a baixar e executar o anexo”, disse o pesquisador de segurança Fareed Radzi. “Uma vez executado, o VBScript inicia uma cadeia de infecção em vários estágios que resulta na instalação de software legítimo de monitoramento e gerenciamento remoto (RMM), permitindo acesso remoto ao sistema da vítima.”
Suspeita-se que o autor da ameaça por trás da operação conseguiu obter acesso clandestino a várias contas do WhatsApp e depois as usou como vetor de distribuição dos arquivos VBScript entre seus contatos. Dito isto, não está claro exatamente como essas contas são comprometidas.
Os arquivos VBScript fortemente ofuscados são disfarçados como documentos comerciais e financeiros aparentemente inofensivos, usando nomes como “Financial Reports.vbs” ou “Account Statement.vbs”. Alguns dos ficheiros também são nomeados noutras línguas, como português, francês, alemão e malaio, reflectindo a natureza global da campanha.
“Além disso, as amostras VBScript contêm comentários extensos e metadados destinados a imitar componentes legítimos do Microsoft Windows Update”, explicou Kaspersky. “Muitos desses comentários são escritos em chinês e incluem referências aos módulos do Windows Update, validação de certificados, verificações de integridade do sistema e funcionalidades relacionadas à implantação.”
O arquivo VBScript é iniciado usando “WScript.exe”, que então busca e executa componentes VBScript adicionais necessários para os próximos estágios do ataque. É importante notar que a cadeia de infecção se comporta de maneira um pouco diferente dependendo se a vítima está usando o WhatsApp Web ou o aplicativo WhatsApp Desktop.
No primeiro caso, o ataque depende do usuário baixar o arquivo para seu sistema e depois abri-lo a partir da pasta baixada ou através do histórico de download do navegador, assumindo que se trata de um documento legítimo. No WhatsApp Desktop, o malware é executado diretamente dentro do aplicativo, com a árvore de processos revelando que “WhatsApp.Root.exe”, o processo em segundo plano associado ao aplicativo cliente, é responsável por gerar “WScript.exe”.
O objetivo principal do VBScript é baixar duas cargas VBScript secundárias de um servidor remoto, uma das quais tenta adulterar o comportamento do Controle de Conta de Usuário (UAC) do Windows, enquanto a outra baixa e executa um arquivo ZIP contendo o pacote de instalação do ManageEngine RMM Central.
A atividade permanece não atribuída, no entanto, a empresa russa de segurança cibernética disse ter encontrado sobreposições de infraestrutura (“202.61.160[.]201”) com atividades anteriores ligadas ao Gh0st RAT e ValleyRAT.
“Os usuários devem ser cautelosos ao receber anexos inesperados através do WhatsApp, mesmo quando parecem originar-se de contatos conhecidos”, disse Kaspersky. "Tipos de scripts e arquivos executáveis, como VBS, VBE, EXE, BAT, CMD, JS e PS1, não devem ser abertos, a menos que sua legitimidade tenha sido verificada de forma independente."
De acordo com as descobertas da Kaspersky, a campanha ativa tem como alvo usuários do WhatsApp Desktop e WhatsApp Web na Malásia, Brasil, Índia, México, Cingapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã. A maior concentração de vítimas foi relatada na Malásia.
“O ator da ameaça usa nomes de arquivos enganosos disfarçados de documentos comerciais e financeiros para persuadir os destinatários a baixar e executar o anexo”, disse o pesquisador de segurança Fareed Radzi. “Uma vez executado, o VBScript inicia uma cadeia de infecção em vários estágios que resulta na instalação de software legítimo de monitoramento e gerenciamento remoto (RMM), permitindo acesso remoto ao sistema da vítima.”
Suspeita-se que o autor da ameaça por trás da operação conseguiu obter acesso clandestino a várias contas do WhatsApp e depois as usou como vetor de distribuição dos arquivos VBScript entre seus contatos. Dito isto, não está claro exatamente como essas contas são comprometidas.
Os arquivos VBScript fortemente ofuscados são disfarçados como documentos comerciais e financeiros aparentemente inofensivos, usando nomes como “Financial Reports.vbs” ou “Account Statement.vbs”. Alguns dos ficheiros também são nomeados noutras línguas, como português, francês, alemão e malaio, reflectindo a natureza global da campanha.
“Além disso, as amostras VBScript contêm comentários extensos e metadados destinados a imitar componentes legítimos do Microsoft Windows Update”, explicou Kaspersky. “Muitos desses comentários são escritos em chinês e incluem referências aos módulos do Windows Update, validação de certificados, verificações de integridade do sistema e funcionalidades relacionadas à implantação.”
O arquivo VBScript é iniciado usando “WScript.exe”, que então busca e executa componentes VBScript adicionais necessários para os próximos estágios do ataque. É importante notar que a cadeia de infecção se comporta de maneira um pouco diferente dependendo se a vítima está usando o WhatsApp Web ou o aplicativo WhatsApp Desktop.
No primeiro caso, o ataque depende do usuário baixar o arquivo para seu sistema e depois abri-lo a partir da pasta baixada ou através do histórico de download do navegador, assumindo que se trata de um documento legítimo. No WhatsApp Desktop, o malware é executado diretamente dentro do aplicativo, com a árvore de processos revelando que “WhatsApp.Root.exe”, o processo em segundo plano associado ao aplicativo cliente, é responsável por gerar “WScript.exe”.
O objetivo principal do VBScript é baixar duas cargas VBScript secundárias de um servidor remoto, uma das quais tenta adulterar o comportamento do Controle de Conta de Usuário (UAC) do Windows, enquanto a outra baixa e executa um arquivo ZIP contendo o pacote de instalação do ManageEngine RMM Central.
A atividade permanece não atribuída, no entanto, a empresa russa de segurança cibernética disse ter encontrado sobreposições de infraestrutura (“202.61.160[.]201”) com atividades anteriores ligadas ao Gh0st RAT e ValleyRAT.
“Os usuários devem ser cautelosos ao receber anexos inesperados através do WhatsApp, mesmo quando parecem originar-se de contatos conhecidos”, disse Kaspersky. "Tipos de scripts e arquivos executáveis, como VBS, VBE, EXE, BAT, CMD, JS e PS1, não devem ser abertos, a menos que sua legitimidade tenha sido verificada de forma independente."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #whatsapp #vbscript #usa #documentos #falsos #para #instalar #a #ferramenta #manageengine #rmm
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário