WhatsApp-Kampagne verteilt per VBScript die Fernwartungssoftware ManageEngine RMM Central

Zusammenfassung

Über Direktnachrichten bei WhatsApp werden derzeit schädliche Visual-Basic-Script-Dateien verbreitet, die zur Installation legitimer Fernwartungssoftware führen. Nach Erkenntnissen von Kaspersky richtet sich die laufende Kampagne gegen Nutzer von WhatsApp Desktop und WhatsApp Web in Malaysia, Brasilien, Indien, Mexiko, Singapur, dem Vereinigten Königreich, Spanien, Taiwan, Australien, Russland und Vietnam; die höchste Konzentration der Opfer meldete das Sicherheitsunternehmen aus Malaysia. Die Angreifer tarnen die Dateien laut Kaspersky als Geschäfts- und Finanzdokumente, um Empfänger zum Herunterladen und Ausführen zu bewegen. Sicherheitsforscher Fareed Radzi erklärte, nach dem Start der Datei beginne eine mehrstufige Infektionskette, die letztlich legitime Remote-Monitoring- und -Management-Software installiert und damit Fernzugriff auf das betroffene System ermöglicht. Unklar ist bislang, wie die hinter der Operation stehenden Akteure an die verwendeten WhatsApp-Konten gelangt sind. Kaspersky vermutet jedoch, dass sie sich heimlich Zugriff auf mehrere Konten verschafft und diese anschließend genutzt haben, um die VBScript-Dateien an deren Kontakte weiterzuleiten.

Kaspersky beschreibt die eingesetzten VBScript-Dateien als stark verschleiert. Sie treten mit Namen auf, die wie harmlose Geschäfts- oder Finanzunterlagen wirken, etwa „Finanzberichte.vbs“ oder „Kontoauszug.vbs“. Einige Dateien tragen Bezeichnungen in anderen Sprachen, darunter Portugiesisch, Französisch, Deutsch und Malaiisch, was laut den Forschern den internationalen Charakter der Kampagne widerspiegelt.

Hinzu kommen umfangreiche Kommentare und Metadaten, die legitime Komponenten von Microsoft Windows Update nachahmen sollen. Wie Kaspersky erläutert, sind viele dieser Kommentare auf Chinesisch verfasst und enthalten Verweise auf Windows-Update-Module, Zertifikatsprüfung, Systemintegritätskontrollen und Funktionen rund um die Bereitstellung.

Ausgeführt wird die Datei über „WScript.exe“. Anschließend lädt und startet sie weitere VBScript-Komponenten, die für die nächsten Phasen des Angriffs benötigt werden. Der Ablauf unterscheidet sich dabei je nach genutzter WhatsApp-Variante. Bei WhatsApp Web basiert der Angriff darauf, dass Nutzer die Datei auf ihr System herunterladen und sie anschließend aus dem Download-Ordner oder über die Download-Historie des Browsers öffnen, weil sie sie für ein legitimes Dokument halten.

Bei WhatsApp Desktop wird der Schadcode dagegen direkt innerhalb der Anwendung ausgeführt. Im Prozessbaum ist laut Kaspersky zu sehen, dass „WhatsApp.Root.exe“, der Hintergrundprozess der Client-Anwendung, „WScript.exe“ startet.

Das primäre Ziel des ersten VBScript besteht darin, zwei weitere VBScript-Nutzlasten von einem entfernten Server nachzuladen. Eine davon versucht, das Verhalten der Windows-Benutzerkontensteuerung zu manipulieren. Die andere lädt eine ZIP-Datei herunter und führt sie aus; darin befindet sich das Installationspaket für ManageEngine RMM Central.

Die Kampagne ist bislang keinem Akteur eindeutig zugeordnet. Die russische Cybersicherheitsfirma Kaspersky erklärte jedoch, sie habe Überschneidungen bei der Infrastruktur mit früheren Aktivitäten festgestellt. Genannt wird dabei die Adresse „202.61.160[.]201“, die mit früheren Vorgängen in Verbindung steht, die Gh0st RAT und ValleyRAT zugeschrieben wurden.

Kaspersky rät zur Vorsicht bei unerwarteten Anhängen in WhatsApp-Nachrichten, selbst wenn sie scheinbar von bekannten Kontakten stammen. Skript- und ausführbare Dateitypen wie VBS, VBE, EXE, BAT, CMD, JS und PS1 sollten laut dem Unternehmen nicht geöffnet werden, sofern ihre Echtheit nicht unabhängig geprüft wurde.

WhatsApp-Kampagne verteilt per VBScript die Fernwartungssoftware ManageEngine RMM Central

Ähnliche Artikel

Neueste Artikel