یک کمپین بدافزاری کاربران واتساپ(WhatsApp) را در کشورهای مختلف هدف قرار داده است. در این حمله فیشینگ واتساپ، مهاجمان با سوءاستفاده از حسابهای واتساپی که پیشتر مورد نفوذ قرار گرفتهاند، فایلهای VBScript (VBS) را با ظاهری شبیه اسناد مالی و تجاری برای مخاطبان قربانی ارسال میکنند تا آنها را به دانلود و اجرای فایلهای مخرب ترغیب کنند. اجرای این فایلها، زنجیره آلودگی را آغاز کرده و در نهایت دسترسی از راه دور به سیستم قربانی را برای مهاجمان فراهم میکند.
بر اساس دادههای تلهمتری شرکت کسپرسکی، این حمله فیشینگ واتساپ تاکنون در کشورهایی از جمله برزیل، هند، مکزیک، سنگاپور، بریتانیا، اسپانیا، تایوان، استرالیا، روسیه، ویتنام و مالزی مشاهده شده است. در ادامه این زنجیره آلودگی، نرمافزار قانونی ManageEngine Endpoint Central روی سیستم قربانی نصب میشود. این نرمافزار بهطور معمول توسط مدیران فناوری اطلاعات (IT) برای مدیریت متمرکز سامانهها از طریق یک داشبورد مرکزی مورد استفاده قرار میگیرد، اما در این کمپین، مهاجمان از آن برای ایجاد دسترسی از راه دور به رایانه قربانی سوءاستفاده میکنند.
شروع زنجیره آلودگی با فایل VBScript مبهمسازیشده
طبق گزارش شرکت کسپرسکی، حمله فیشینگ واتساپ با پیامهایی آغاز میشود که از حسابهای واتساپ از پیش هکشده ارسال شدهاند و تنها شامل یک فایل VBScript بهشدت مبهمسازیشده (Obfuscated) هستند.
این فایلها با نامهایی انتخاب میشوند که در ظاهر شبیه اسناد مالی، صورتحسابها، اعلانهای حساب کاربری یا سایر مدارک اداری به نظر میرسند؛ اقدامی که با هدف افزایش جلب توجه کاربر و ترغیب او به باز کردن و اجرای فایل انجام شده است.
همچنین نام این فایلها به زبانهای مختلف تنظیم شده است؛ موضوعی که نشان میدهد مهاجمان این عملیات را با هدف پوشش کاربران در کشورهای مختلف و افزایش اثربخشی حمله در سطح بینالمللی طراحی کردهاند.
بر اساس بررسیهای کسپرسکی و شواهد بهدستآمده از قربانیان و نمونههای ارسالی، مهاجمان به چندین حساب واتساپ دسترسی پیدا کردهاند و از این حسابهای آلوده برای ارسال فایلهای مخرب به مخاطبان استفاده میکنند. با این حال، هنوز مشخص نیست که این حسابها دقیقاً از چه روشی مورد نفوذ قرار گرفتهاند.
چگونه زنجیره حمله فیشینگ واتساپ به دسترسی از راه دور ختم میشود؟
اگر قربانی فایل را در سیستمعامل ویندوز دانلود و اجرا کند، VBScript دو اسکریپت تکمیلی را از زیرساخت مهاجم دریافت میکند. این اسکریپتها در ادامه با اعمال تغییراتی در ریجستری ویندوز، مکانیزمهای حفاظتی کنترل حساب کاربری (User Account Control – UAC) را غیرفعال کرده و سپس یک فایل فشرده ZIP شامل نرمافزار ManageEngine Endpoint Central را دانلود میکنند.
در مرحله بعد، این نرمافزار بهصورت کاملاً پنهانی و در پسزمینه سیستم نصب شده و برای اتصال به سرورهای مدیریتی تحت کنترل مهاجم پیکربندی میشود. در نهایت، این روند به ایجاد دسترسی مدیریتی از راه دور روی سیستم قربانی منتهی میشود؛ بهطوری که مهاجم میتواند از یک ابزار قانونی مدیریت سیستم برای کنترل کامل دستگاه آلوده استفاده کند. در واقع، در این مرحله حمله فیشینگ واتساپ وارد فاز عملیاتی خود شده و کنترل زیرساخت قربانی را برای مهاجم ممکن میسازد.
تفاوت عملکرد حمله فیشینگ واتساپ در نسخه وب و دسکتاپ
به گفته کسپرسکی، اگر فایل اولیه از طریق نسخه وب واتساپ (WhatsApp Web) دریافت شود، کاربر ابتدا باید آن را دانلود کند؛ اما در صورتی که همان فایل در نسخه دسکتاپ واتساپ (WhatsApp Desktop client) باز شود، امکان اجرای مستقیم آن از طریق میزبان اسکریپت ویندوز (Windows Script Host) با استفاده از پردازه wscript.exe وجود دارد.
در واقع، حمله فیشینگ واتساپ با بهرهگیری از تفاوت عملکردی میان نسخههای مختلف کلاینت، احتمال اجرای مستقیم فایل در محیط دسکتاپ را افزایش داده و در نتیجه سطح ریسک آلودگی را بالا میبرد. این موضوع نشان میدهد مهاجمان بهخوبی با الگوی استفاده کاربران آشنا هستند و زنجیره حمله را بر همان اساس بهینهسازی کردهاند.
عدم انتساب قطعی و توصیههای امنیتی
اگرچه شرکت کسپرسکی این حمله فیشینگ واتساپ را به یک عامل تهدید مشخص نسبت نداده است اما پژوهشگران نشانههایی از استفاده از زبان چینی و همچنین همپوشانی زیرساختی با برخی IPها را شناسایی کردهاند؛ آدرسهایی که پیشتر با فعالیت بدافزارهای ValleyRAT و Gh0st RAT مرتبط بودهاند. با این حال، شواهد موجود برای انتساب قطعی کافی نیست.
در همین راستا، به کاربران توصیه میشود حتی در مواجهه با فایلهای ارسالی از سوی مخاطبان آشنا نیز احتیاط کنند و پیش از باز کردن، از طریق روشهای جایگزین از صحت آنها اطمینان حاصل نمایند. همچنین توصیه میشود تمامی فایلهای دانلودشده پیش از اجرا با یک آنتیویروس بهروز اسکن شوند؛ زیرا در چنین سناریوهایی، این نوع حمله میتواند حتی از مسیرهای بهظاهر قابل اعتماد نیز برای انتشار فایلهای آلوده سوءاستفاده کند.