- 27,744
- 46
- 8 Ноя 2022
Атака начинается с обычного вложения, которому слишком легко поверить.
Доверие к знакомому отправителю всё чаще становится слабым местом защиты, и новая кампания против пользователей WhatsApp строится именно на этом расчёте. Злоумышленники рассылают вредоносные файлы с уже захваченных аккаунтов, маскируя вложения под деловые и финансовые документы.
По данным «Лаборатории Касперского», атаки затронули пользователей в Бразилии, Индии, Мексике, Сингапуре, Великобритании, Испании, Тайване, Австралии, России, Вьетнаме и Малайзии. Сообщения приходят от реальных контактов жертвы и содержат сильно запутанный VBS-файл. Названия таких файлов подстраивают под язык получателя и оформляют как отчёты, счета, уведомления по аккаунту или другие рабочие документы.
Если пользователь скачивает и запускает вложение на Windows , скрипт обращается к инфраструктуре атакующих и получает ещё два сценария. Следующий этап меняет параметры реестра, отключает защиту UAC и загружает ZIP-архив с ManageEngine Endpoint Central. Легитимный инструмент обычно помогает администраторам управлять компьютерами из единой панели, но в этой кампании программа незаметно подключает заражённый ПК к серверам злоумышленников.
Эксперты «Касперского» уточняют, что при передаче файла через WhatsApp Web вложение нужно сначала скачать, а в настольном клиенте WhatsApp файл может запускаться напрямую через Windows Script Host. Точный способ взлома аккаунтов WhatsApp пока не установлен. Специалисты нашли следы китайского языка и пересечения инфраструктуры с адресами, которые раньше связывали с активностью ValleyRAT и Gh0st RAT, но доказательств для уверенной атрибуции недостаточно.
Снизить риск помогает простая проверка вложений через другой канал связи, даже если файл пришёл от знакомого контакта. Загруженные документы стоит проверять актуальным антивирусом до запуска, а подозрительные VBS-файлы лучше не открывать вовсе.
Доверие к знакомому отправителю всё чаще становится слабым местом защиты, и новая кампания против пользователей WhatsApp строится именно на этом расчёте. Злоумышленники рассылают вредоносные файлы с уже захваченных аккаунтов, маскируя вложения под деловые и финансовые документы.
По данным «Лаборатории Касперского», атаки затронули пользователей в Бразилии, Индии, Мексике, Сингапуре, Великобритании, Испании, Тайване, Австралии, России, Вьетнаме и Малайзии. Сообщения приходят от реальных контактов жертвы и содержат сильно запутанный VBS-файл. Названия таких файлов подстраивают под язык получателя и оформляют как отчёты, счета, уведомления по аккаунту или другие рабочие документы.
Если пользователь скачивает и запускает вложение на Windows , скрипт обращается к инфраструктуре атакующих и получает ещё два сценария. Следующий этап меняет параметры реестра, отключает защиту UAC и загружает ZIP-архив с ManageEngine Endpoint Central. Легитимный инструмент обычно помогает администраторам управлять компьютерами из единой панели, но в этой кампании программа незаметно подключает заражённый ПК к серверам злоумышленников.
Эксперты «Касперского» уточняют, что при передаче файла через WhatsApp Web вложение нужно сначала скачать, а в настольном клиенте WhatsApp файл может запускаться напрямую через Windows Script Host. Точный способ взлома аккаунтов WhatsApp пока не установлен. Специалисты нашли следы китайского языка и пересечения инфраструктуры с адресами, которые раньше связывали с активностью ValleyRAT и Gh0st RAT, но доказательств для уверенной атрибуции недостаточно.
Снизить риск помогает простая проверка вложений через другой канал связи, даже если файл пришёл от знакомого контакта. Загруженные документы стоит проверять актуальным антивирусом до запуска, а подозрительные VBS-файлы лучше не открывать вовсе.
- Источник новости
- www.securitylab.ru
