WhatsApp: accesso remoto con attacco di phishing

Gli esperti di Kaspersky hanno descritto una campagna malware che sfrutta WhatsApp per distribuire un tool di accesso remoto e quindi per rubare dati dal computer. I bersagli dei cybercriminali sono principalmente gli utenti che si trovano in Malesia, Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia e Vietnam. Gli attacchi sono ancora in corso.

Messaggi fasulli per distribuire file VBScript

I ricercatori di Kaspersky hanno notato che lo stesso messaggio è stato inviato a più utenti. I cybercriminali hanno preso il controllo di numerosi account WhatsApp (non è noto il metodo usato) e inviato il messaggio a tutti i contatti. Per ingannare le vittime sono stati scelti nomi per i file VBScript che indicano documenti apparentemente legittimi, come report finanziari, fatture e pagamenti.

Se l’utente apre il file da WhatsApp Desktop e Web su Windows, lo script scarica altri due file VBScript. Il primo disattivata la protezione UAC (controllo dell’account utente) modificando una chiave del registro, mentre il secondo scarica un archivio ZIP che contiene ManageEngine Endpoint Central, un legittimo tool di accesso remoto.

Lo script estrae i file dall’archivio e installa il software in background. Utilizzando il file di configurazione incluso viene effettuata la connessione al server dei cybercriminali che possono quindi accedere da remoto al computer della vittima. A quel punto è possibile eseguire qualsiasi azione, dal furto di dati sensibili all’installazione di altri malware.

Gli esperti di Kaspersky non hanno individuato gli autori degli attacchi, ma potrebbero essere di origine cinese. Gli indirizzi IP dell’infrastruttura utilizzata sono gli stessi associati a ValleyRAT e Gh0st RAT. Gli utenti devono prestare molta attenzione ai file ricevuti tramite WhatsApp (in particolare quelli eseguibili), anche se sembrano provenire da contatti conosciuti.