Исследователи кибербезопасности Microsoft обнаружили сложную вредоносную кампанию, которая использует доверие, связанное с общением в WhatsApp, для доставки злонамеренных файлов VBScript и пакетов установщиков MSI. Злоумышленники инициируют контакт, отправляя на первый взгляд безобидное сообщение в WhatsApp, часто выдавая себя за известного контакта или представителя службы поддержки. Сообщение обычно содержит приманку, например, поддельное приглашение на встречу или срочный документ, который направляет цель на скомпрометированный или контролируемый злоумышленниками веб-сайт. Этот первоначальный этап социальной инженерии имеет решающее значение, поскольку он обходит технические средства контроля, используя человеческое любопытство и неявное доверие к знакомой платформе обмена сообщениями.
При посещении вредоносной ссылки жертве предлагается загрузить файл. Основная полезная нагрузка часто представляет собой файл Visual Basic Script (VBS) — легальный язык сценариев Windows, который часто злоупотребляют злоумышленники из-за его доступа на уровне системы и возможности выполнения команд. Этот скрипт VBS действует как загрузчик, получая и выполняя следующий этап атаки. Параллельно или в качестве последующего действия кампания развертывает вредоносный пакет установщика Microsoft Software Installer (MSI). Файлы MSI особенно опасны, поскольку они являются доверенными системными файлами, предназначенными для установки программного обеспечения, что часто позволяет им обходить базовые предупреждения системы безопасности и выполняться с повышенными привилегиями, обеспечивая глубокое и устойчивое присутствие в системе.
Конечной полезной нагрузкой этой многоступенчатой атаки является мощный бэкдор, предоставляющий злоумышленникам удаленный доступ к скомпрометированной системе. После установки этот бэкдор может похищать конфиденциальные данные, развертывать дополнительное вредоносное ПО, такое как программы-вымогатели или шпионское ПО, и обеспечивать плацдарм для lateral movement внутри корпоративной сети. Microsoft приписывает эту кампанию финансово мотивированной угрозе, подчеркивая постоянную эволюцию тактик социальной инженерии, которые сочетают повсеместные платформы, такие как WhatsApp, с доверенными форматами файлов для максимизации уровня заражения. Использование пакетов MSI представляет собой значительную тенденцию, поскольку защитники все чаще сосредотачиваются на блокировке исполняемых файлов (.exe), что вынуждает злоумышленников переходить на другие, менее контролируемые форматы установщиков.
Для защиты от таких угроз организациям и частным лицам необходимо применять многоуровневую стратегию безопасности. Технические средства контроля должны включать расширенную фильтрацию электронной почты и веб-трафика для блокировки вредоносных ссылок, whitelisting приложений для предотвращения запуска несанкционированных скриптов и установщиков, а также решения для обнаружения и реагирования на конечных точках (EDR) для выявления аномального поведения, такого как запуск скриптами VBS пакетов MSI. На человеческом уровне первостепенное значение имеет постоянное обучение осведомленности о безопасности. Пользователей необходимо обучать тщательной проверке неожиданных сообщений, даже от, казалось бы, известных контактов, и подтверждению законности запросов через вторичные каналы перед переходом по ссылкам или загрузкой файлов. Бдительность и скептицизм остаются первой и наиболее эффективной линией обороны против атак с использованием социальной инженерии.
