Útoky přes WhatsApp: Jak se z nevinné zprávy od známého stane noční můra
Na WhatsAppu se rozjela poměrně zákeřná malwarová kampaň, která cílí na uživatele po celém světě. Útočníci na to jdou chytře – posílají podvodné zprávy s přílohami ve formátu VBScript, tedy spustitelného kódu, pomocí kterých se snaží získat vzdálený přístup do počítače oběti.
Aby zvýšili šanci, že na soubor v příloze kliknete, strůjci útoků je maskují za běžné firemní dokumenty, faktury, vyúčtování nebo upomínky. Názvy souborů navíc překládají do mnoha jazyků, což jen potvrzuje globální rozsah celého útoku.
Celý trik spočívá v tom, že vám zpráva přijde od uživatele, kterého už máte v kontaktech. Útočníci totiž nejdříve ovládnou účty náhodných uživatelů, a pak z jejich seznamu přátel rozesílají silně zašifrovaný VBS soubor. Bezpečnostní komunitě se prozatím nepodařilo zjistit, jak přesně se útočníkům daří do účtů na WhatsAppu nabourat.
Mohlo by vás zajímat
Jak probíhá nákaza počítače oběti
Nová podvodná kampaň míří především na uživatele WhatsAppu, kteří jej používají na počítači. Jakmile příjemce phishingové zprávy škodlivý soubor otevře, spustí se nebezpečná řetězová reakce:
-
1
Prvotní VBScript si z infrastruktury útočníka stáhne další dva skripty.
-
2
Nově stažený software upraví registry systému a potají vypnou Řízení uživatelských účtů (UAC).
-
3
Následně dojde ke stažení ZIP archivu, který obsahuje legitimní program s názvem „ManageEngine Endpoint Central“.
Zdroj: Kaspersky
Nástroj ManageEngine Endpoint Central běžně používají IT správci, a to k centrálnímu řízení počítačů ve firmách. Útočníci ho ale nainstalují bez povšimnutí uživatele na pozadí a propojí ho se svými vlastními servery. Tím nad napadeným počítačem získají kompletní vzdálenou kontrolu.
Bezpečnostní experti navíc upozorňují na jeden podstatný detail: Pokud zprávu otevřete ve webovém rozhraní WhatsApp Web, soubor se pouze stáhne. Pokud ale používáte aplikaci WhatsApp Desktop, může se skript po kliknutí rovnou spustit. Souvisí to s aktivitami systémového nástroje Windows Script Host (wscript.exe).
Mohlo by vás zajímat
Kdo za nejnovějšími útoky stojí a jak se bránit?
Přímé důkazy, díky kterým by se dal viník určit se stoprocentní jistotou sice chybí, ale výzkumníci v kódu objevili stopy čínštiny. V síťové infrastruktuře se také objevují IP adresy, které už v minulosti využívaly škodlivé kódy ValleyRAT nebo Gh0st RAT.
Obrana proti současné phishingové kampani je přitom vcelku prostá. Vyžaduje však ostražitost:
-
1
I když vám soubor ve zprávě pošle důvěryhodný kontakt, buďte opatrní a raději si jinou cestou – například telefonicky – ověřte, zda vám ho opravdu poslal.
-
2
Každý stažený soubor před spuštěním pro jistotu zkontrolujte aktualizovaným antivirovým programem.
Zdroj: Bleeping Computer
5 foto
