Атака через WhatsApp* доставляет вредоносные MSI-пакеты, позволяя хакерам контролировать ПК. Как избежать атак социальной инженерии? Обучение сотрудников — главный совет. — theregister.com
Будьте осторожны с тем, на что нажимаете. Злоумышленники используют сообщения WhatsApp* в многоэтапной атаке, доставляющей вредоносные пакеты Microsoft Installer (MSI), что позволяет преступникам получить контроль над машинами жертв и получить доступ ко всем их данным.
По имеющимся данным, кампания началась в конце февраля, а цепочка атак стартует с сообщения в WhatsApp*, доставляющего вредоносные файлы Visual Basic Script (VBS). Мы не уверены, как именно работает часть мошенничества, связанная с социальной инженерией — мы запросили у Редмонда дополнительные подробности и обновим эту статью, если получим их.
The Register также обратилась за комментариями к принадлежащему Meta* сервису WhatsApp* и не получила ответа.
Но каким-то образом злоумышленник обманом заставляет получателя сообщения выполнить вредоносный файл в своей системе. Вероятно, они делают это, используя скомпрометированную сессию WhatsApp*, чтобы сообщение выглядело так, будто оно пришло от одного из существующих контактов жертвы. Или же они бомбардируют пользователей приманкой, содержащей элемент срочности, побуждая получателя поспешно открыть файл.
После выполнения вредоносный скрипт создает скрытые папки в C:\ProgramData и размещает переименованные версии легитимных утилит Windows — например, curl.exe переименован в netapi.dll, а bitsadmin.exe — в sc.exe.
Использование легитимных инструментов Windows в злонамеренных целях позволяет атакующим сливаться с обычной сетевой активностью — защитники называют это «жизнью за счет земли» (living off the land), — однако злоумышленники допустили ошибку при переименовании этих бинарных файлов.
«Примечательно, что эти переименованные бинарные файлы сохраняют свои исходные метаданные PE (Portable Executable), включая поле OriginalFileName, которое по-прежнему идентифицирует их как curl.exe и bitsadmin.exe», — написали исследователи Microsoft во вторник в блоге. «Это означает, что Microsoft Defender и другие решения безопасности могут использовать это несоответствие метаданных в качестве сигнала обнаружения, помечая случаи, когда имя файла не соответствует встроенному в него OriginalFileName».
Преступники используют переименованные бинарные файлы для загрузки вторичных VBS-полезных нагрузок (auxs.vbs, 2009.vbs) из доверенных облачных сервисов, включая AWS, Tencent Cloud и Backblaze B2. Опять же, это затрудняет различие между нормальной корпоративной активностью и вредоносными загрузками.
Затем вредоносное ПО изменяет настройки контроля учетных записей пользователей (UAC), пытаясь запустить cmd.exe с повышенными привилегиями до тех пор, пока это не увенчается успехом, что означает выживание вредоносного ПО после перезагрузки системы, или пока процесс принудительно не будет завершен.
Наконец, злоумышленники развертывают вредоносные MSI-установщики, и Microsoft заявляет, что среди них есть Setup.msi, WinRAR.msi, LinkPoint.msi и AnyDesk.msi. Опять же, негодяи используют реальные инструменты, такие как AnyDesk, — а не пользовательское вредоносное ПО — чтобы спрятаться на виду.
Однако ни одна из конечных полезных нагрузок не подписана, и это должно служить еще одним указанием для защитников на то, что они имеют дело с вредоносным ПО, а не с легитимным корпоративным программным обеспечением.
Эти установщики предоставляют злоумышленникам удаленный доступ к системам жертв, чтобы они могли красть данные, развертывать дополнительное вредоносное ПО — например, программы-вымогатели — на скомпрометированных системах или использовать зараженные машины как часть более крупной сети для запуска других атак.
Хотя в блоге Microsoft приведен ряд рекомендаций, призывающих людей использовать их продукты безопасности для предотвращения такого рода компрометации, один нейтральный для поставщиков совет, который нам особенно нравится, включает обучение пользователей тому, как распознавать кампании социальной инженерии.
«Обучайте сотрудников распознавать подозрительные вложения в WhatsApp* и неожиданные сообщения, подчеркивая, что даже знакомые платформы могут быть использованы для доставки вредоносного ПО», — советует Редмонд. ®
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons