حمله فیشینگ در واتس‌اپ با استفاده از اسناد جعلی تجاری برای هک رایانه‌ها

یک کارزار بدافزاری فعال، کاربران واتس‌اپ را در چندین کشور هدف قرار داده است. در این حملات، پیام‌های فریبنده‌ای برای قربانیان ارسال می‌شود که آن‌ها را به اجرای فایل‌های VBScript ترغیب می‌کند؛ اقدامی که در نهایت می‌تواند به دسترسی از راه دور به سیستم قربانی منجر شود.

عامل تهدید در این کارزار از نام فایل‌هایی استفاده می‌کند که ظاهراً به اسناد تجاری و مالی اشاره دارند؛ فایل‌هایی که از سوی مخاطبان قربانی ارسال شده‌اند، در حالی که حساب‌های این مخاطبان پیش‌تر در اختیار مهاجمان قرار گرفته و آلوده شده‌اند.

با دانلود و اجرای پیوست‌های مخرب، زنجیره آلودگی آغاز می‌شود؛ زنجیره‌ای که در نهایت به نصب نرم‌افزار قانونی ManageEngine Endpoint Central منتهی می‌شود. این ابزار معمولاً توسط مدیران فناوری اطلاعات برای مدیریت سیستم‌ها از طریق یک داشبورد مرکزی استفاده می‌شود.

داده‌های تله‌متری شرکت امنیت سایبری Kaspersky نشان می‌دهد که این کارزار در کشورهایی از جمله برزیل، هند، مکزیک، سنگاپور، بریتانیا، اسپانیا، تایوان، استرالیا، روسیه، ویتنام و مالزی در حال گسترش است.

زنجیره حمله

بر اساس گزارش Kaspersky، حملات با ارسال پیام‌هایی از حساب‌های کاربری به‌خطر‌افتاده آغاز می‌شود؛ پیام‌هایی که تنها شامل یک فایل VBS به‌شدت مبهم‌سازی‌شده هستند.

نام این فایل‌ها به‌گونه‌ای انتخاب شده که شبیه گزارش‌های مالی، صورتحساب‌ها، اعلان‌های حساب کاربری و اسناد مشابه به نظر برسند؛ مواردی که احتمالاً توجه هدف را جلب کرده و او را به باز کردن فایل ترغیب می‌کنند.

نام فایل‌ها همچنین به چندین زبان بومی‌سازی شده‌اند؛ موضوعی که گستره جهانی این کارزار را بیش از پیش تأیید می‌کند.

Kaspersky توضیح می‌دهد:

«بر اساس شواهد جمع‌آوری‌شده از چندین قربانی از طریق گزارش‌های منتشرشده در شبکه‌های اجتماعی و نمونه‌های ارسال‌شده، می‌توان نتیجه گرفت که عامل تهدید به چندین حساب واتس‌اپ دسترسی پیدا کرده و از آن‌ها برای توزیع فایل‌های مخرب VBScript میان مخاطبان موجود در فهرست تماس کاربران آلوده استفاده کرده است.»

این شرکت همچنین افزود:

«در زمان نگارش این گزارش، روش دقیق مورد استفاده برای نفوذ به این حساب‌های واتس‌اپ هنوز مشخص نیست.»

اگر قربانی فایل را روی سیستم ویندوزی دانلود و اجرا کند، فایل VBScript دو اسکریپت دیگر را از زیرساخت مهاجم دریافت می‌کند. این اسکریپت‌ها در ادامه، از طریق تغییرات در رجیستری ویندوز، محافظت‌های UAC را غیرفعال کرده و یک آرشیو ZIP حاوی برنامه ManageEngine Endpoint Central را دانلود می‌کنند.

این نرم‌افزار به‌صورت مخفیانه در پس‌زمینه نصب شده و به‌گونه‌ای پیکربندی می‌شود که به سرورهای مدیریتی تحت کنترل مهاجمان متصل شود؛ موضوعی که به آن‌ها امکان می‌دهد به‌صورت از راه دور رایانه قربانی را مدیریت کنند.

Kaspersky اشاره می‌کند که وقتی فایل اولیه VBScript از طریق WhatsApp Web ارسال می‌شود، کاربر باید آن را دانلود کند؛ اما اگر همین فایل در نسخه دسکتاپ واتس‌اپ باز شود، می‌تواند مستقیماً از طریق Windows Script Host یا همان wscript.exe اجرا شود.

اگرچه Kaspersky این حملات را به عامل تهدید مشخصی نسبت نداده است، پژوهشگران نشانه‌هایی از استفاده از زبان چینی و هم‌پوشانی زیرساختی با آدرس‌های IP مشاهده کرده‌اند که پیش‌تر با فعالیت‌های مرتبط با ValleyRAT و Gh0st RAT مرتبط دانسته شده بودند.

با این حال، شواهد موجود برای انتساب این حملات به یک گروه مشخص با اطمینان بالا کافی نیست.

به کاربران واتس‌اپ توصیه می‌شود فایل‌هایی را که از سوی مخاطبان خود دریافت می‌کنند، حتی اگر فرستنده فردی مورد اعتماد باشد، با احتیاط بررسی کنند و همواره از طریق روش‌های ثانویه صحت آن‌ها را تأیید کنند.

همچنین تمام فایل‌های دانلودشده باید پیش از اجرا، با یک آنتی‌ویروس به‌روز اسکن شوند.