Potenziell auch Nutzer in Deutschland betroffen. Malware ermöglicht Fernzugriff auf das System über Standard-Administrationsfunktionen.
Kaspersky hat eine großangelegte Malware-Kampagne entdeckt, die sich über WhatsApp verbreitet [1]. Dabei setzen die Angreifer auf kompromittierte Konten, lokalisierte Dateinamen und täuschend echt wirkende Geschäftsdokumente, um Empfänger zum Öffnen schädlicher Anhänge zu bewegen. Die Infektion ermöglicht anschließend unbemerkten Fernzugriff auf die betroffenen Systeme. Die Verwendung mehrerer Sprachen in Dateinamen deutet zudem auf eine breite regionale Ausrichtung hin, insbesondere in Europa, inklusive Deutschland.
Die Experten des Globalen Forschungs- und Analyseteams (GReAT) bei Kaspersky haben eine neue, weitreichende Kampagne zur Verbreitung von Schadsoftware über WhatsApp entdeckt. Laut Analysen nutzen die Angreifer zuvor kompromittierte WhatsApp-Konten, um schädliche Anhänge zu verbreiten. Da die Nachrichten von bestehenden Kontakten dieser Konten versendet werden, steigt die Wahrscheinlichkeit, dass Empfänger die Dateien öffnen. Nach der Installation ermöglicht die Malware den Fernzugriff auf das System über Standard-Administrationsfunktionen, die eigentlich für legitimen IT-Support und IT-Management vorgesehen sind.
Die Social-Engineering-Komponente setzt auf Dateinamen, die gängigen Geschäftsdokumenten ähneln, darunter Rechnungen, Kontoauszüge, Zahlungsbelege und Mahnungen. Die Dateinamen sind zudem in mehrere Sprachen lokalisiert, darunter Englisch, Portugiesisch, Französisch und Deutsch. Darüber hinaus enthalten die VBScript-Beispiele umfangreiche Kommentare und Metadaten, die legitime Microsoft-Windows-Update-Komponenten imitieren sollen.
Der Ausführungsablauf des Anhangs folgt einem mehrstufigen Prozess auf dem betroffenen System. Nach dem Öffnen löst die Datei eine Skriptsequenz auf dem Gerät aus. Das erste Skript erstellt ein Arbeitsverzeichnis unter C:\Users\Public\Documents, ruft anschließend weitere Skript-Dateien von externer Infrastruktur ab und führt sie mithilfe des Windows Script Host aus. Diese Folge-Skripte führen zusätzliche Systemaktionen aus und laden ein komprimiertes Archiv von derselben Infrastruktur herunter, das ein Installationspaket für eine Software zur Fernüberwachung und -verwaltung enthält.
„In dieser Kampagne nutzen Angreifer das Vertrauen in Messaging-Plattformen aus, indem sie kompromittierte WhatsApp-Konten verwenden, um schädliche Anhänge zu versenden, die scheinbar von bekannten Kontakten stammen“, erklärt Fareed Radzi, Sicherheitsexperte im Global Research & Analysis Team (GReAT) bei Kaspersky. „Dadurch sind die Empfänger viel eher geneigt, diese zu öffnen. Die Dateinamen sind sorgfältig als routinemäßige Geschäftsdokumente wie Rechnungen und Zahlungsbenachrichtigungen getarnt und in mehreren Sprachen lokalisiert, um eine breite Zielgruppe zu erreichen. Nach dem Öffnen wird eine gestaffelte Infektionskette ausgelöst, die unbemerkt weitere schädliche Komponenten von externer Infrastruktur abruft und ausführt.“
Kaspersky-Sicherheitstipps zum Schutz vor dieser Kampagne
- Vorsicht beim Empfang unerwarteter WhatsApp-Anhänge, auch wenn diese scheinbar von bekannten Kontakten stammen. Solche Dateien können Schadsoftware enthalten.
- Keine Skript- oder ausführbaren Dateien wie .vbs, .vbe, .exe, .bat, .cmd, .js und .ps1 öffnen, bevor deren Echtheit unabhängig überprüft wurde.
- Eine leistungsstarke Sicherheitslösung wie Kaspersky Premium [2] einsetzen, die vor bekannten und unbekannten Bedrohungen schützt.
Die vollständige Analyse ist verfügbar unter https://securelist.com/whatsapp-vbs-rmm-campaign/120290/
[1] https://securelist.com/whatsapp-vbs-rmm-campaign/120290/
Nützliche Links:
- Kaspersky-Analyse zur WhatsApp-Kampagne: https://securelist.com/whatsapp-vbs-rmm-campaign/120290/
- Kaspersky Premium: https://kas.pr/re3t
