WhatsApp-кампания VBScript маскирует ВПО под легитимные инструменты
Эксперты по кибербезопасности зафиксировали WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) VBScript campaign — атаку с активным использованием социальной инженерии, в которой злоумышленники распространяют вредоносный VBScript через скомпрометированные аккаунты WhatsApp. Кампания нацелена на широкий круг жертв в нескольких странах, однако особенно высокая концентрация инцидентов наблюдается в Малайзии, где зафиксировано около 80% случаев.
Ключевая особенность атаки — стремление злоумышленников установить ManageEngine Endpoint Central, легитимный корпоративный инструмент удаленного управления, чтобы обеспечить постоянный контроль над скомпрометированными системами. Для этого они эксплуатируют широкое использование WhatsApp в корпоративной коммуникации, маскируя вредоносную активность под обычный обмен файлами и сообщениями.
Как работает атака
Первый этап кампании строится на обфускации. Вредоносный VBScript-полезная нагрузка выглядит безобидно, а злоумышленники дополнительно используют локализованные имена файлов и комментарии в стиле обновлений Windows, чтобы убедить пользователя запустить скрипт.
Для сокрытия своих действий VBScript применяет несколько техник:
- конкатенация строк;
- закодированное содержимое;
- имитация легитимных Windows-утилит, таких как curl и bitsadmin, которые переименовываются и используются для загрузки дополнительных компонентов.
Развитие атаки и закрепление в системе
На втором этапе скрипт создает случайную скрытую директорию в системе, после чего загружает ZIP-архив с дополнительными скриптами. Для извлечения и запуска вредоносных компонентов злоумышленники используют различные методы, включая PowerShell и curl.
Одновременно они пытаются удалить метаданные, которые могли бы вызвать предупреждения средств защиты. Такой подход снижает вероятность обнаружения и усложняет анализ инцидента.
Финальный этап кампании связан со скрытой установкой агента ManageEngine Endpoint Central. Это позволяет злоумышленникам выполнять удаленное администрирование без типичных тревожных сигналов, которые обычно вызывают вредоносные бинарные файлы.
Атрибуция остается неясной
Несмотря на наличие ряда признаков, которые могут указывать на участие китайскоязычного злоумышленника, окончательная атрибуция не установлена. Наличие определенных IP-адресов, ранее связанных с другими семействами ВПО, не позволяет однозначно идентифицировать единственного оператора кампании.
Таким образом, расследование указывает на сложную и многоэтапную операцию, в которой злоумышленники намеренно используют доверие к повседневным корпоративным инструментам и каналам коммуникации.
Почему эта кампания особенно опасна
Эта атака создает новые вызовы для команд кибербезопасности, поскольку стирает границы между легитимным ПО и вредоносной активностью. Защитным решениям становится сложнее отличить нормальную установку корпоративного инструмента от попытки закрепления злоумышленника в инфраструктуре.
Для эффективного выявления подобных инцидентов специалисты рекомендуют сосредоточиться на следующих признаках:
- необычные запуски wscript.exe;
- подозрительные создания каталогов;
- мониторинг записей в реестр, связанных с повышением привилегий;
- контроль неожиданных исходящих подключений к сервисам хранения, которые часто используются для размещения полезной нагрузки;
- сетевые ограничения для блокировки известных вредоносных доменов.
Вывод: кампания WhatsApp VBScript показывает, как социальная инженерия, обфускация и использование легитимных инструментов могут быть объединены в одной цепочке атаки. В таких условиях организациям необходимо усиливать мониторинг, ограничивать сетевую активность и тщательно проверять любые неожиданные действия, связанные с wscript.exe, PowerShell и удаленным администрированием.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



