Thought Leadership
Eine mehrsprachige Malware-Kampagne nutzt kompromittierte WhatsApp-Konten, um Schadsoftware über gefälschte Geschäftsdokumente zu verbreiten.
Sicherheitsforscher von Kasperky warnen vor einer großflächigen Verbreitung von Schadsoftware über den Instant-Messaging-Dienst WhatsApp. Die Angreifer nutzen bereits kompromittierte Konten realer Personen, um schädliche Dateianhänge an deren Kontakte weiterzuleiten. Durch den bekannten Absender erhöht sich die Wahrscheinlichkeit, dass die Empfänger die Dokumente öffnen. Die Kampagne ist international ausgerichtet und betrifft auch europäische Länder einschließlich Deutschland.
Um die potenziellen Opfer zu täuschen, sind die Dateinamen als alltägliche Geschäftsdokumente wie Rechnungen, Kontoauszüge, Zahlungsbelege oder Mahnungen getarnt. Diese Bezeichnungen liegen lokalisiert in verschiedenen Sprachen vor, darunter Deutsch, Englisch, Französisch und Portugiesisch. Die verwendeten VBScript-Dateien enthalten zudem gefälschte Metadaten und Kommentare, welche legitime Update-Komponenten des Betriebssystems Microsoft Windows vortäuschen.
Mehrstufiger Infektionsablauf und Software-Installation über WhatsApp
Sobald ein Anwender den schädlichen Anhang öffnet, startet eine mehrteilige Skriptsequenz auf dem betroffenen Computersystem. Im ersten Schritt legt das bösartige Skript ein neues Arbeitsverzeichnis unter dem lokalen Pfad C:\Users\Public\Documents an. Anschließend stellt das System eine Verbindung zu einer externen Server-Infrastruktur her, um zusätzliche Skriptdateien nachzuladen. Die Ausführung dieser Folgedateien erfolgt über den integrierten Windows Script Host.
In der finalen Phase der Infektionskette lädt die Schadsoftware ein komprimiertes Archiv von den Servern der Angreifer herunter. Dieses Paket enthält das Installationsprogramm für eine legitime Software zur Fernüberwachung und Fernverwaltung, einen sogenannten UEMS RMM-Agenten (Unified Endpoint Management Solution / Remote Monitoring and Management). Nach der erfolgreichen Installation erlangen die Täter über diese Standard-Administrationsfunktionen vollständigen und unbefugten Fernzugriff auf das infizierte System.
Gezieltes Ausnutzen von Kommunikationsnetzwerken
Die Sicherheitsforscher des Global Research und Analysis Teams von Kaspersky weisen darauf hin, dass die gezielte Ausnutzung des bestehenden Vertrauensverhältnisses zwischen den Kommunikationspartnern den Erfolg der Kampagne begünstigt. Der Sicherheitsforscher Fareed Radzi kommentiert das Vorgehen der Angreifer wie folgt:
„In dieser Kampagne nutzen Angreifer das Vertrauen in Messaging-Plattformen aus, indem sie kompromittierte WhatsApp-Konten verwenden, um schädliche Anhänge zu versenden, die scheinbar von bekannten Kontakten stammen. Dadurch sind die Empfänger viel eher geneigt, diese zu öffnen. Die Dateinamen sind sorgfältig als routinemäßige Geschäftsdokumente wie Rechnungen und Zahlungsbenachrichtigungen getarnt und in mehreren Sprachen lokalisiert, um eine breite Zielgruppe zu erreichen. Nach dem Öffnen wird eine gestaffelte Infektionskette ausgelöst, die unbemerkt weitere schädliche Komponenten von externer Infrastruktur abruft und ausführt.“
Fareed Radzi, Sicherheitsforscher bei Kaspersky
(Kaspersky/red)
