Obdržení souboru od důvěryhodného kontaktu přes WhatsApp není vždy zárukou bezpečnosti. Výzkumníci společnosti Kaspersky identifikovali aktivní malwarovou kampaň, která se šíří jak prostřednictvím WhatsApp Web, tak i prostřednictvím desktopové aplikace pro Windows.
Využívá již dříve napadené účty k odesílání souborů s příponou VBS, které po otevření umožňují útočníkům převzít úplnou vzdálenou kontrolu nad počítačem oběti.
Co jsou soubory VBS a proč jsou tak nebezpečné?
Soubory VBS obsahují pokyny napsané v jazyce VBScript, což je programovací jazyk vyvinutý společností Microsoft, původně určený k automatizaci úloh v systému Windows. Správci systémů jej již léta používají ke spouštění procesů, úpravám nastavení nebo provádění opakujících se akcí bez nutnosti ručního zásahu. Právě tato univerzálnost se však stává zbraní, když se soubor dostane k uživateli zamaskovaný jako legitimní firemní dokument.
Na rozdíl od známějších formátů, jako jsou PDF nebo Word, mohou soubory VBS automaticky spouštět příkazy, jakmile je uživatel otevře na počítači se systémem Windows, a to díky nástroji integrovanému do systému s názvem Windows Script Host, který je zodpovědný za interpretaci a spouštění tohoto typu skriptů.
Ukradené účty jako prostředek podvodu
To, co činí tuto kampaň obzvláště účinnou, je způsob jejího šíření. Odborníci společnosti Kaspersky varují, že kyberzločinci neodesílají soubory z neznámých čísel, ale z účtů WhatsApp, které byly předtím napadeny. To znamená, že oběť obdrží zprávu od skutečného kontaktu, což mnohonásobně zvyšuje pravděpodobnost, že obsahu uvěří a bez podezření jej otevře.
Názvy škodlivých souborů napodobují běžné dokumenty z pracovního prostředí, jako jsou faktury, bankovní výpisy, finanční zprávy nebo oznámení o stavu účtu. Odborníci navíc zjistili, že soubory jsou přizpůsobeny pro různé jazyky, což je jasným důkazem toho, že se jedná o mezinárodní operaci.
Jak uvádí sama společnost Kaspersky:„Útočník získal přístup k několika účtům WhatsApp a využil je k rozesílání škodlivých souborů VBScript kontaktům ze seznamů kontaktů napadených uživatelů.“ Analytici přiznávají, že zatím „není známa přesná metoda, kterou byly tyto účty WhatsApp napadeny“.
Zasažené země a globální dosah
Hrozba byla zjištěna nejméně v jedenácti zemích: ve Španělsku, Velké Británii, Brazílii, Indii, Mexiku, Singapuru, na Tchaj-wanu, v Austrálii, Rusku, Vietnamu a Malajsii. Skutečnost, že soubory jsou k dispozici v různých jazycích, posiluje hypotézu o koordinované operaci ve velkém měřítku.
Dvě vstupní brány s odlišnými nuancemi
Útok se týká pouze zařízení s operačním systémem Windows, protože využívá komponenty, které jsou pro tento operační systém specifické. Na mobilním zařízení nelze soubor VBS jednoduše spustit. Uživatelé, kteří používají WhatsApp na počítači, jsou však ohroženi dvěma různými způsoby.
Ve službě WhatsApp Web musí uživatel soubor nejprve stáhnout, než jej může otevřít, což představuje další krok. Naproti tomu aplikace WhatsApp pro Windows představuje větší riziko: podle společnosti Kaspersky lze soubor spustit přímo prostřednictvím wscript.exe, což je systémový proces spojený s Windows Script Host. V obou případech dojde k infekci v okamžiku, kdy uživatel otevře údajný dokument.
Takto se malware zmocní vašeho počítače
Jakmile oběť spustí soubor VBS, spustí se řetězec akcí, jehož cílem je tiše převzít kontrolu nad počítačem. Nejprve skript stáhne další komponenty ze serverů ovládaných útočníky. Následně upraví registr systému Windows s cílem deaktivovat UAC, mechanismus řízení uživatelských účtů, který obvykle upozorňuje na chystané citlivé změny v nastavení systému.
Po vyřazení obranných mechanismů si malware stáhne komprimovaný soubor ve formátu ZIP, který obsahuje ManageEngine Endpoint Central – legitimní nástroj běžně používaný IT odděleními k centrální správě počítačových parků z jediného administračního panelu. Útočníci jej nenápadně nainstalují a nakonfigurují tak, aby se připojoval k serverům pod jejich kontrolou, čímž získají vzdálený přístup s administrátorskými oprávněními k infikovanému počítači.
Možný původ a přiřazení
Výzkumníci společnosti Kaspersky poukazují na to, že nemají dostatečné důkazy k tomu, aby tuto kampaň přiřadili konkrétní skupině kyberzločinců. Identifikovali však stopy, které naznačují použití čínského jazyka v části kódu, stejně jako shody v použité infrastruktuře s IP adresami, které byly dříve spojovány s hackerskými skupinami ValleyRAT a Gh0st RAT. Odborníci však považují tyto souvislosti za neprůkazné.
Jak se chránit
Hlavní doporučení společnosti Kaspersky je jednoznačné: pokud obdržíte soubor s příponou .vbs přes WhatsApp, za žádných okolností jej neotevírejte, a to ani v případě, že pochází od důvěryhodné osoby. Nejrozumnější je kontaktovat danou osobu jiným způsobem a ověřit si, zda soubor skutečně poslala. Rovněž je vhodné být obzvláště opatrný u jakéhokoli pracovního souboru s neobvyklou příponou a před otevřením jej zkontrolovat aktualizovaným antivirovým programem.