Microsoft попереджає про нову атаку через WhatsApp

Будьте обережні з тим, що відкриваєте у WhatsApp. Зловмисники проводять багатоступеневу атаку, використовуючи шкідливі файли Microsoft Installer (MSI), які дозволяють отримати віддалений доступ до комп’ютерів жертв і викрасти їхні дані. Кампанія стартувала наприкінці лютого та починається з повідомлення, яке містить шкідливий файл Visual Basic Script (VBS).

Зловмисники можуть використовувати скомпрометовані сеанси WhatsApp або створювати відчуття терміновості, щоб спонукати користувача швидко відкрити файл. Після запуску скрипт створює приховані папки та розміщує перейменовані легітимні утиліти Windows, наприклад curl.exe (netapi.dll) і bitsadmin.exe (sc.exe), щоб зливатися із звичайною мережею.

Ці файли завантажують додаткові шкідливі скрипти з надійних хмарних сервісів, таких як AWS та Tencent Cloud. Після цього шкідливе ПЗ намагається підвищити привілеї користувача, щоб пережити перезавантаження, і розгортає інсталятори MSI – Setup.msi, WinRAR.msi, LinkPoint.msi та AnyDesk.msi. Використання легітимних інструментів дозволяє хакерам залишатися непоміченими, хоча відсутність цифрового підпису інсталяторів є сигналом небезпеки.

Внаслідок атаки зловмисники отримують повний контроль над системами жертв, можуть викрадати дані, розгортати шкідливе ПЗ або використовувати заражені машини для подальших атак. Microsoft радить навчати користувачів розпізнавати підозрілі вкладення та повідомлення у WhatsApp, навіть якщо вони нібито надходять від знайомих контактів.

Источник: itechua.com