За даними дослідників Kaspersky, виявлено активну кампанію, у межах якої через приватні повідомлення WhatsApp поширюються шкідливі файли Visual Basic Script (VBScript), що запускають багатоступеневий ланцюжок зараження з підсумковою інсталяцією легітимного засобу віддаленого керування ManageEngine RMM Central. Кампанія зачіпає користувачів WhatsApp Desktop і WhatsApp Web в 11 країнах — Малайзії, Бразилії, Індії, Мексиці, Сінгапурі, Великій Британії, Іспанії, Тайвані, Австралії, Росії та В’єтнамі, при цьому найбільшу концентрацію жертв зафіксовано в Малайзії. Користувачам обох версій WhatsApp рекомендується не відкривати скриптові вкладення, навіть якщо вони отримані від знайомих контактів.
Механізм первинного зараження
Як повідомляється, зловмисники, імовірно, отримали несанкціонований доступ до низки облікових записів WhatsApp і використали їх для розсилання шкідливих файлів за списками контактів жертв. Точний спосіб компрометації акаунтів наразі лишається невідомим — це суттєва прогалина в розумінні кампанії, яка не дозволяє оцінити масштаб первинного вектора.
Файли VBScript маскуються під ділові та фінансові документи з назвами на кшталт «Financial Reports.vbs» або «Account Statement.vbs». Частина зразків має назви португальською, французькою, німецькою та малайською мовами, що відображає глобальний масштаб операції. Розрахунок на те, що одержувач сприйме вкладення як легітимний документ від знайомого відправника й відкриє його.
Технічний ланцюжок зараження
Поведінка ланцюжка зараження відрізняється залежно від платформи:
- WhatsApp Web: атака передбачає, що користувач самостійно завантажить файл і відкриє його з папки завантажень або через журнал завантажень браузера.
- WhatsApp Desktop: шкідливий код виконується безпосередньо всередині застосунку — процес WhatsApp.Root.exe породжує WScript.exe, який запускає скрипт.
Другий сценарій становить особливий інтерес: фактично легітимний процес десктопного клієнта WhatsApp стає батьківським для інтерпретатора скриптів Windows. Це може ускладнити виявлення засобами моніторингу, які не відстежують породження WScript.exe з процесів месенджерів.
За даними дослідників, самі файли VBScript сильно обфусковані і містять розлогі коментарі та метадані, що імітують легітимні компоненти оновлення Microsoft Windows. Показово, що багато з цих коментарів написані китайською мовою й містять посилання на модулі Windows Update, перевірку сертифікатів, контроль цілісності системи та функції розгортання. Це може бути як індикатором походження інструментарію, так і навмисною спробою хибної атрибуції.
Етапи виконання
Після запуску через WScript.exe первинний VBScript завантажує з віддаленого сервера два вторинні скрипти:
- Модуль обходу UAC — намагається змінити поведінку механізму контролю облікових записів Windows (User Account Control), що потрібне для підвищення привілеїв без відображення стандартного запиту підтвердження.
- Завантажувач RMM — завантажує та розпаковує ZIP-архів з інсталяційним пакетом ManageEngine RMM Central, надаючи зловмиснику повноцінний віддалений доступ до системи жертви.
Використання легітимного засобу віддаленого адміністрування — характерний прийом, що дозволяє обійти антивірусне виявлення: сам по собі RMM-агент не є шкідливим ПЗ і часто входить до списків довіреного програмного забезпечення в корпоративних середовищах.
Контекст загрози та атрибуція
Кампанія наразі не атрибутована конкретному угрупованню. Kaspersky відзначає перетин інфраструктури — IP-адреса 202.61.160[.]201 — з попередньою активністю, пов’язаною з Gh0st RAT та ValleyRAT. Втім, збіг інфраструктури сам по собі недостатній для надійної атрибуції: IP-адреси можуть повторно використовуватися різними групами, орендуватися в одних і тих самих хостинг-провайдерів або навмисно застосовуватися для створення хибного сліду.
Варто зазначити, що на момент публікації відсутні офіційне підтвердження чи коментарі з боку Meta (власника WhatsApp) та ManageEngine щодо цієї кампанії. Усі технічні деталі ґрунтуються на дослідженні Kaspersky.
Оцінка впливу
Кампанія становить підвищену небезпеку з кількох причин:
- Довіра до відправника: повідомлення надходять зі скомпрометованих акаунтів реальних контактів, що різко підвищує ймовірність відкриття вкладення.
- Широка географія: охоплення 11 країн на чотирьох континентах із багатомовними приманками свідчить про масштабну й добре підготовлену операцію.
- Легітимність фінального інструмента: ManageEngine RMM Central — комерційний продукт, який не детектується як шкідливе ПЗ, що ускладнює виявлення компрометації.
- Особливість WhatsApp Desktop: автоматичне породження WScript.exe з процесу месенджера створює менш очевидний для користувача вектор виконання.
Рекомендації щодо захисту
- Блокування скриптових розширень: налаштуйте групові політики або засоби захисту кінцевих точок для блокування виконання файлів із розширеннями .vbs, .vbe, .js, .bat, .cmd, .ps1, .exe, отриманих через месенджери.
- Моніторинг дерева процесів: налаштуйте правила EDR для виявлення випадків, коли WhatsApp.Root.exe породжує WScript.exe або cscript.exe — це аномальна поведінка.
- Контроль установлення RMM: якщо ManageEngine RMM Central не використовується у вашій організації, додайте його інсталяційні пакети до чорного списку застосунків. Якщо використовується — відстежуйте несанкціоноване встановлення нових агентів.
- Моніторинг змін UAC: відстежуйте модифікації ключів реєстру, пов’язаних із налаштуваннями User Account Control, зокрема EnableLUA та ConsentPromptBehaviorAdmin.
- Верифікація вкладень: у разі отримання неочікуваних файлів через WhatsApp — навіть від знайомих — зв’яжіться з відправником альтернативним каналом для підтвердження.
Організаціям, які використовують WhatsApp у робочих комунікаціях, рекомендується негайно перевірити наявність несанкціонованих RMM-агентів на робочих станціях і налаштувати правила виявлення породження інтерпретаторів скриптів із процесів месенджерів. Індикатор компрометації — IP-адресу 202.61.160[.]201 — слід додати до блок-листів мережевих засобів захисту для превентивного блокування зв’язку з командною інфраструктурою.
