Microsoft ostrzega: nie otwieraj tej wiadomości w WhatsApp

W świecie cyberbezpieczeństwa zaufanie do znanych platform komunikacyjnych bywa najsłabszym ogniwem w łańcuchu obrony. Microsoft wydał właśnie pilne ostrzeżenie przed nową, wieloetapową kampanią wymierzoną w użytkowników WhatsApp. Atakujący wykorzystują popularny komunikator do rozprzestrzeniania złośliwych pakietów Microsoft Installer (MSI), co w konsekwencji pozwala im na przejęcie pełnej kontroli nad zainfekowanymi maszynami i kradzież wrażliwych danych.

Kampania, która rozpoczęła się pod koniec lutego, opiera się na precyzyjnym wykorzystaniu socjotechniki. Cyberprzestępcy przesyłają wiadomości zawierające zainfekowane pliki Visual Basic Script (VBS). Mechanizm manipulacji jest prosty, ale skuteczny: ofiary otrzymują pliki od osób, które wydają się być ich znanymi kontaktami — co sugeruje przejęcie wcześniejszych sesji WhatsApp — lub są poddawane presji czasu poprzez alarmujące treści wiadomości, wymuszające szybkie otwarcie załącznika.

Kamuflaż wewnątrz systemu czyli Living off the Land

To, co wyróżnia tę operację na tle innych, to sposób, w jaki złośliwe oprogramowanie próbuje „zniknąć” w systemie operacyjnym. Po uruchomieniu skryptu VBS, malware tworzy ukryte foldery w lokalizacji C:\ProgramData i umieszcza tam legalne narzędzia Windows, którym nadaje fałszywe nazwy. Przykładowo, standardowe narzędzie curl.exe zostaje przemianowane na netapi.dll, a bitsadmin.exe na sc.exe.

Strategia ta, znana w branży jako "living off the land", polega na wykorzystywaniu autentycznych komponentów systemu do szkodliwych celów, co utrudnia wykrycie anomalii przez tradycyjne systemy monitorujące ruch sieciowy. Jednak, jak zauważają badacze z Microsoft, napastnicy popełnili błąd. Mimo zmiany nazw plików, nie zmodyfikowali metadanych PE (Portable Executable). Pole OriginalFileName wciąż wskazuje na pierwotne nazwy narzędzi, co pozwala rozwiązaniom takim jak Microsoft Defender na błyskawiczną identyfikację rozbieżności i zablokowanie procesu.

Chmura jako serwer dystrybucji złośliwego kodu

Przestępcy wykazali się dużą kreatywnością w budowaniu infrastruktury przesyłowej. Zamiast korzystać z własnych, podejrzanych serwerów, wykorzystują zaufane usługi chmurowe do pobierania kolejnych etapów infekcji. Wśród zidentyfikowanych platform znalazły się:

• AWS (Amazon Web Services)
• Tencent Cloud
• Backblaze B2

Z tych źródeł pobierane są dodatkowe skrypty, takie jak auxs.vbs oraz 2009.vbs. Wykorzystanie legalnej infrastruktury chmurowej sprawia, że ruch sieciowy generowany przez malware wygląda dla administratorów IT jak standardowa aktywność korporacyjna. Następnie złośliwe oprogramowanie podejmuje próbę modyfikacji ustawień User Account Control (UAC), dążąc do uruchomienia procesów z podwyższonymi uprawnieniami, co gwarantuje mu przetrwanie nawet po restarcie komputera.

Legalne narzędzia jako ostateczny ładunek

W końcowej fazie ataku na dysk trafiają pakiety instalacyjne MSI. Co zaskakujące, nie są to autorskie wirusy, lecz zmodyfikowane wersje powszechnie używanych programów. Microsoft zidentyfikował cztery główne instalatory wykorzystywane w tej kampanii: Setup.msi, WinRAR.msi, LinkPoint.msi oraz AnyDesk.msi. Wykorzystanie AnyDesk — legalnego narzędzia do zdalnego pulpitu — pozwala atakującym na przejęcie kontroli nad systemem bez wzbudzania podejrzeń przez oprogramowanie antywirusowe, które widzi w tym jedynie pracę zdalną.

„Wykorzystanie znanych i zaufanych narzędzi do zdalnego zarządzania pozwala przestępcom ukryć się na widoku. Brak cyfrowego podpisu pod tymi instalatorami jest jednak jasnym sygnałem ostrzegawczym dla systemów obronnych” – podkreślają eksperci z Redmond.

Efektem końcowym jest uzyskanie przez napastników pełnego dostępu zdalnego. Pozwala to na kradzież danych, wdrożenie oprogramowania ransomware lub włączenie zainfekowanej maszyny do sieci botnet, służącej do przeprowadzania kolejnych ataków na większą skalę. Choć Microsoft promuje swoje rozwiązania zabezpieczające, kluczowym elementem ochrony pozostaje czynnik ludzki.

Edukacja ważniejsza niż algorytmy

Analiza tej kampanii pokazuje, że technologia, choć zaawansowana, wciąż potrzebuje wsparcia w postaci świadomego użytkownika. Najskuteczniejszą metodą obrony przed atakami typu social engineering pozostaje regularne szkolenie pracowników. Microsoft zaleca, aby kłaść szczególny nacisk na rozpoznawanie podejrzanych załączników, nawet jeśli pochodzą one z platform uznawanych za prywatne lub bezpieczne, jak WhatsApp.

W dobie profesjonalizacji cyberprzestępczości, granica między komunikacją prywatną a służbową zaciera się, co skrzętnie wykorzystują grupy przestępcze. Skala i precyzja opisywanego ataku sugerują, że w najbliższym czasie będziemy świadkami coraz częstszego wykorzystywania legalnych narzędzi systemowych i usług chmurowych do maskowania złośliwej działalności. Firmy, które nie zainwestują w kulturę bezpieczeństwa i nie nauczą swoich zespołów krytycznego podejścia do każdego otrzymanego pliku, staną się najłatwiejszymi celami dla nowej generacji cyfrowych włamywaczy.