Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware WhatsApp-Malware-Kampagne

WhatsApp-Malware-Kampagne

Von Mezo in Malware
Übersetzen Sie in:

Cyberkriminelle nutzen WhatsApp-Direktnachrichten, um schädliche Visual Basic Script-Dateien (VBScript) zu verbreiten, die letztendlich legitime Remote-Monitoring- und -Management-Software (RMM) auf infizierten Systemen installieren. Die Kampagne zielt auf Nutzer von WhatsApp Desktop und WhatsApp Web in mehreren Ländern ab, darunter Malaysia, Brasilien, Indien, Mexiko, Singapur, Großbritannien, Spanien, Taiwan, Australien, Russland und Vietnam. Malaysia verzeichnet die höchste Anzahl betroffener Nutzer.

Forscher vermuten, dass die Angreifer sich unbefugten Zugriff auf mehrere WhatsApp-Konten verschafft und diese kompromittierten Profile anschließend genutzt haben, um Schadsoftware an Kontakte zu versenden. Die genaue Methode, mit der die Konten übernommen wurden, ist jedoch noch unbekannt.

Als Geschäftsdokumente getarnt

Die Angreifer nutzen Social Engineering, um Opfer zum Öffnen der schädlichen Dateien zu verleiten. Die VBScript-Anhänge sind als legitime Geschäfts- und Finanzdokumente getarnt und verwenden überzeugende Dateinamen wie „Finanzberichte.vbs“ und „Kontoauszug.vbs“. Um die internationale Reichweite der Kampagne zu erhöhen, erscheinen einige Dateien auch in Sprachen wie Portugiesisch, Französisch, Deutsch und Malaiisch.

Die Skripte sind stark verschleiert und enthalten umfangreiche Kommentare und Metadaten, die authentische Microsoft Windows Update-Komponenten imitieren sollen. Zahlreiche Kommentare sind in Chinesisch verfasst und verweisen auf Funktionen wie:

  • Windows Update-Module
  • Verfahren zur Zertifikatsvalidierung
  • Systemintegritätsprüfungen
  • Bereitstellungsbezogene Prozesse

Diese Elemente sollen die Dateien legitim erscheinen lassen und die Sicherheitsanalyse erschweren.

Mehrstufige Infektionskette ermöglicht Fernzugriff

Nach der Ausführung über „WScript.exe“ initiiert das schädliche VBScript einen mehrstufigen Infektionsprozess, indem es zusätzliche VBScript-Komponenten herunterlädt und ausführt. Das Hauptziel des Skripts ist das Herunterladen zweier sekundärer Schadprogramme von einem Remote-Server. Ein Schadprogramm versucht, das Verhalten der Windows-Benutzerkontensteuerung (UAC) zu manipulieren, während das andere ein ZIP-Archiv herunterlädt und startet, das das Installationspaket für ManageEngine RMM Central enthält.

Die erfolgreiche Installation der legitimen RMM-Software gewährt Angreifern Fernzugriffsmöglichkeiten und ermöglicht ihnen so die Kontrolle über das System des Opfers.

Unterschiedliche Ausführungspfade auf WhatsApp Web und Desktop

Der Infektionsprozess variiert je nach verwendeter WhatsApp-Plattform. Bei WhatsApp Web müssen die Opfer die Datei herunterladen und sie manuell aus dem Download-Ordner oder dem Browserverlauf öffnen, da sie sie für ein legitimes Dokument halten.

Im Gegensatz dazu ermöglicht die WhatsApp-Desktop-Anwendung der Schadsoftware die direkte Ausführung innerhalb der Client-Umgebung. Die Prozessanalyse zeigt, dass der Hintergrundprozess der Anwendung, „WhatsApp.Root.exe“, für den Start von „WScript.exe“ verantwortlich ist, welches dann die schädliche Kette auslöst.

Mögliche Verbindungen zu früheren Malware-Operationen

Obwohl die Kampagne noch keiner bestimmten Bedrohungsgruppe offiziell zugeordnet wurde, haben Ermittler Überschneidungen in der Infrastruktur mit früheren Schadsoftware-Aktivitäten der Malware-Familien Gh0st RAT und ValleyRAT festgestellt. Diese Ähnlichkeiten deuten darauf hin, dass die Operation möglicherweise Ressourcen oder Taktiken mit früheren Cyberkriminalitätskampagnen teilt.

Wichtige Vorsichtsmaßnahmen für WhatsApp-Nutzer

Sicherheitsexperten raten Nutzern zur Vorsicht beim Empfang unerwarteter Anhänge über WhatsApp, selbst wenn die Nachrichten scheinbar von vertrauenswürdigen Kontakten stammen. Folgende Dateitypen sollten niemals geöffnet werden, bevor ihre Echtheit nicht unabhängig bestätigt wurde:

  • VBS- und VBE-Skriptdateien
  • Ausführbare Dateien wie EXE, BAT und CMD
  • Skriptbasierte Formate einschließlich JS und PS1

Das Überprüfen von Anhängen vor deren Öffnung ist nach wie vor eine der wirksamsten Verteidigungsmaßnahmen gegen Malware-Kampagnen, die vertrauenswürdige Kommunikationsplattformen ausnutzen.

Am häufigsten gesehen

Wird geladen...