Phishing-Kampagne über WhatsApp verteilt VBScript-Dateien für Fernzugriff auf Windows-PCs

Zusammenfassung

Eine laufende Malware-Kampagne greift WhatsApp-Nutzer in mehreren Ländern mit täuschenden Nachrichten an, die schädliche VBScript-Dateien verbreiten. Nach Angaben von Kaspersky werden dafür kompromittierte WhatsApp-Konten genutzt: Die Angreifer senden Dateien an Kontakte der betroffenen Nutzer und tarnen sie als Geschäfts- und Finanzdokumente. Wird ein solcher Anhang unter Windows heruntergeladen und geöffnet, setzt er eine Infektionskette in Gang, an deren Ende die legitime Verwaltungssoftware ManageEngine Endpoint Central installiert wird. Die Angreifer konfigurieren das Programm so, dass es sich mit von ihnen kontrollierten Management-Servern verbindet und ihnen Fernverwaltungszugriff auf den Rechner des Opfers gibt. Kaspersky zufolge erstreckt sich die Kampagne auf Brasilien, Indien, Mexiko, Singapur, das Vereinigte Königreich, Spanien, Taiwan, Australien, Russland, Vietnam und Malaysia. Die Sicherheitsforscher sehen damit eine länderübergreifende Verbreitung, die auch durch lokalisierte Dateinamen in mehreren Sprachen gestützt wird.

Kaspersky beschreibt eine Angriffskette, die mit Nachrichten aus bereits kompromittierten WhatsApp-Konten beginnt. Diese Nachrichten enthalten den Forschern zufolge nichts außer einer stark verschleierten VBS-Datei. Die Dateinamen sind so gewählt, dass sie wie Finanzberichte, Rechnungsunterlagen, Kontobenachrichtigungen oder ähnliche Geschäftsdokumente wirken und damit die Wahrscheinlichkeit erhöhen sollen, dass Empfänger die Datei öffnen.

Laut Kaspersky deuten ausgewertete Belege aus Berichten mehrerer Opfer in sozialen Medien sowie eingesandte Proben darauf hin, dass der Bedrohungsakteur Zugriff auf mehrere WhatsApp-Konten erlangt hat und diese nutzt, um die schädlichen VBScript-Dateien an Kontakte aus den Kontaktlisten der kompromittierten Nutzer zu verteilen. Wie diese WhatsApp-Konten ursprünglich kompromittiert wurden, ist nach Angaben des Unternehmens bislang unbekannt.

Wird die Datei auf einem Windows-System ausgeführt, lädt das VBScript laut Kaspersky zwei weitere Skripte von der Infrastruktur der Angreifer nach. Diese verändern Registrierungseinträge, um UAC-Schutzmechanismen zu deaktivieren, und laden anschließend ein ZIP-Archiv herunter, das ManageEngine Endpoint Central enthält. Die Software wird unauffällig im Hintergrund installiert und so eingerichtet, dass sie sich mit von den Angreifern kontrollierten Verwaltungsservern verbindet.

Damit erhalten die Angreifer Fernverwaltungszugriff auf den Computer des Opfers. Kaspersky weist außerdem auf einen Unterschied zwischen den WhatsApp-Varianten hin: Wird die ursprüngliche VBScript-Datei über WhatsApp Web zugestellt, muss sie zunächst heruntergeladen werden. Im WhatsApp-Desktop-Client kann sie beim Öffnen hingegen direkt über den Windows Script Host, also wscript.exe, ausgeführt werden.

Telemetriedaten von Kaspersky zeigen laut dem Unternehmen eine Verbreitung der Kampagne in Brasilien, Indien, Mexiko, Singapur, dem Vereinigten Königreich, Spanien, Taiwan, Australien, Russland, Vietnam und Malaysia. Die Forscher sehen den globalen Charakter der Angriffe zusätzlich dadurch bestätigt, dass die Dateinamen in mehreren Sprachen lokalisiert sind.

Eine eindeutige Zuordnung zu einem bestimmten Bedrohungsakteur nimmt Kaspersky nicht vor. Die Forscher fanden nach eigenen Angaben zwar Hinweise auf die Nutzung chinesischer Sprache sowie Überschneidungen in der Infrastruktur mit IP-Adressen, die zuvor mit Aktivitäten von ValleyRAT und Gh0st RAT in Verbindung gebracht wurden. Für eine belastbare Zuschreibung reiche die Beweislage jedoch nicht aus.

Phishing-Kampagne über WhatsApp verteilt VBScript-Dateien für Fernzugriff auf Windows-PCs

Ähnliche Artikel

Neueste Artikel