江蘇
關鍵詞
釣魚攻擊
一場正在進行的惡意軟件活動正針對多個國家的 WhatsApp 用戶,發送帶有欺騙性消息的 VBScript 文件,最終導致遠程系統訪問。
威脅行為者使用的文件名暗示是商務和財務文檔,由受害者的聯系人(其賬戶已被入侵)發送。
收件人下載并執行惡意附件后,會啟動一條感染鏈,最終安裝合法的 ManageEngine Endpoint Central,該軟件被 IT 管理員用于從集中式儀表板管理系統。
來自網絡安全公司 Kaspersky 的遙測數據顯示,該活動蔓延至巴西、印度、墨西哥、新加坡、英國、西班牙、澳大利亞、俄羅斯、越南和馬來西亞。
攻擊鏈
Kaspersky 報告稱,攻擊始于從被入侵賬戶發送的消息,這些消息僅包含一個高度混淆的 VBS 文件。
這些文件被賦予看起來像是財務報告、賬單明細、賬戶通知及類似文檔的名稱,很可能吸引目標的注意力并促使其打開文件。
文件名還使用了多種語言本地化,進一步證實了該活動的全球范圍。
Kaspersky 解釋道:“根據通過社交媒體報告和提交的樣本從多個受害者收集的證據,我們可以得出結論,威脅行為者已獲得多個 WhatsApp 賬戶的訪問權限,并利用它們向被入侵用戶聯系人列表中的聯系人分發惡意 VBScript 文件。”
“在撰寫本文時,用于入侵這些 WhatsApp 賬戶的具體方法仍然未知。”
如果受害者在 Windows 上下載并打開該文件,VBScript 會從攻擊者的基礎設施獲取兩個額外的腳本,這些腳本進而通過注冊表修改禁用 UAC 保護,并下載一個包含 ManageEngine Endpoint Central 程序的 ZIP 壓縮包。
該軟件在后臺靜默安裝,并配置為連接到攻擊者控制的管理服務器,從而在受害者計算機上授予他們遠程管理訪問權限。
Kaspersky 指出,當初始 VBScript 文件通過 WhatsApp Web 傳遞時,必須下載;但當在 WhatsApp Desktop 客戶端中打開時,它可以通過 Windows Script Host(wscript.exe)直接執行。
雖然 Kaspersky 未將這些攻擊歸因于特定的威脅行為者,但研究人員發現了中文使用跡象以及與先前與 ValleyRAT 和 Gh0st RAT 活動相關的 IP 地址存在基礎設施重疊。
然而,目前尚無足夠證據進行高置信度的歸因。
建議 WhatsApp 用戶對聯系人(甚至是受信任的聯系人)發送的文件保持謹慎,并始終通過輔助方式進行驗證。
所有下載的文件在執行前應使用最新的防病毒軟件進行掃描。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
