По данным исследователей Kaspersky, обнаружена активная кампания, в которой через личные сообщения WhatsApp распространяются вредоносные файлы Visual Basic Script (VBScript), запускающие многоступенчатую цепочку заражения с итоговой установкой легитимного средства удалённого управления ManageEngine RMM Central. Кампания затрагивает пользователей WhatsApp Desktop и WhatsApp Web в 11 странах — Малайзии, Бразилии, Индии, Мексике, Сингапуре, Великобритании, Испании, Тайване, Австралии, России и Вьетнаме, при этом наибольшая концентрация жертв зафиксирована в Малайзии. Пользователям обеих версий WhatsApp рекомендуется не открывать скриптовые вложения, даже если они получены от знакомых контактов.
Механизм первичного заражения
Как сообщается, злоумышленники предположительно получили несанкционированный доступ к ряду учётных записей WhatsApp и использовали их для рассылки вредоносных файлов по спискам контактов жертв. Точный способ компрометации аккаунтов на данный момент остаётся неизвестным — это существенный пробел в понимании кампании, который не позволяет оценить масштаб первичного вектора.
Файлы VBScript маскируются под деловые и финансовые документы с названиями вроде «Financial Reports.vbs» или «Account Statement.vbs». Часть образцов имеет названия на португальском, французском, немецком и малайском языках, что отражает глобальный охват операции. Расчёт сделан на то, что получатель примет вложение за легитимный документ от знакомого отправителя и откроет его.
Техническая цепочка заражения
Поведение цепочки заражения различается в зависимости от платформы:
- WhatsApp Web: атака требует, чтобы пользователь самостоятельно скачал файл и открыл его из папки загрузок или через историю загрузок браузера.
- WhatsApp Desktop: вредоносный код выполняется непосредственно внутри приложения — процесс WhatsApp.Root.exe порождает WScript.exe, который запускает скрипт.
Второй сценарий представляет особый интерес: фактически легитимный процесс десктопного клиента WhatsApp становится родительским для интерпретатора скриптов Windows. Это может затруднить обнаружение средствами мониторинга, которые не отслеживают порождение WScript.exe из процессов мессенджеров.
По данным исследователей, сами VBScript-файлы сильно обфусцированы и содержат обширные комментарии и метаданные, имитирующие легитимные компоненты обновления Microsoft Windows. Примечательно, что многие из этих комментариев написаны на китайском языке и содержат ссылки на модули Windows Update, проверку сертификатов, контроль целостности системы и функции развёртывания. Это может быть как индикатором происхождения инструментария, так и намеренной попыткой ложной атрибуции.
Этапы выполнения
После запуска через WScript.exe первичный VBScript загружает с удалённого сервера два вторичных скрипта:
- Модуль обхода UAC — пытается изменить поведение механизма контроля учётных записей Windows (User Account Control), что необходимо для повышения привилегий без отображения стандартного запроса подтверждения.
- Загрузчик RMM — скачивает и распаковывает ZIP-архив с установочным пакетом ManageEngine RMM Central, обеспечивая злоумышленнику полноценный удалённый доступ к системе жертвы.
Использование легитимного средства удалённого администрирования — характерный приём, позволяющий обойти антивирусное обнаружение: сам по себе RMM-агент не является вредоносным ПО и часто входит в списки доверенного программного обеспечения корпоративных сред.
Контекст угрозы и атрибуция
Кампания на данный момент не атрибутирована конкретной группировке. Kaspersky отмечает пересечение инфраструктуры — IP-адрес 202.61.160[.]201 — с предыдущей активностью, связанной с Gh0st RAT и ValleyRAT. Однако совпадение инфраструктуры само по себе недостаточно для надёжной атрибуции: IP-адреса могут переиспользоваться разными группами, арендоваться у одних и тех же хостинг-провайдеров или намеренно применяться для создания ложного следа.
Стоит отметить, что на момент публикации отсутствует официальное подтверждение или комментарий со стороны Meta (владельца WhatsApp) и ManageEngine относительно данной кампании. Все технические детали основаны на исследовании Kaspersky.
Оценка воздействия
Кампания представляет повышенную опасность по нескольким причинам:
- Доверие к отправителю: сообщения приходят от скомпрометированных аккаунтов реальных контактов, что резко повышает вероятность открытия вложения.
- Широкая география: охват 11 стран на четырёх континентах с мультиязычными приманками свидетельствует о масштабной и хорошо подготовленной операции.
- Легитимность финального инструмента: ManageEngine RMM Central — коммерческий продукт, который не детектируется как вредоносное ПО, что затрудняет обнаружение компрометации.
- Особенность WhatsApp Desktop: автоматическое порождение WScript.exe из процесса мессенджера создаёт менее очевидный для пользователя вектор выполнения.
Рекомендации по защите
- Блокировка скриптовых расширений: настройте групповые политики или средства защиты конечных точек для блокировки выполнения файлов с расширениями .vbs, .vbe, .js, .bat, .cmd, .ps1, .exe, полученных через мессенджеры.
- Мониторинг дерева процессов: настройте правила EDR для обнаружения случаев, когда WhatsApp.Root.exe порождает WScript.exe или cscript.exe — это аномальное поведение.
- Контроль установки RMM: если ManageEngine RMM Central не используется в вашей организации, добавьте его установочные пакеты в чёрный список приложений. Если используется — отслеживайте несанкционированные установки новых агентов.
- Мониторинг изменений UAC: отслеживайте модификации ключей реестра, связанных с настройками User Account Control, в частности EnableLUA и ConsentPromptBehaviorAdmin.
- Верификация вложений: при получении неожиданных файлов через WhatsApp — даже от знакомых — свяжитесь с отправителем по альтернативному каналу для подтверждения.
Организациям, использующим WhatsApp в рабочих коммуникациях, рекомендуется немедленно проверить наличие несанкционированных RMM-агентов на рабочих станциях и настроить правила обнаружения порождения скриптовых интерпретаторов из процессов мессенджеров. Индикатор компрометации — IP-адрес 202.61.160[.]201 — следует добавить в блок-листы сетевых средств защиты для превентивной блокировки связи с командной инфраструктурой.
