Atakujący od lat stosują metodę living off the land — wykorzystywania legalnych narzędzi systemowych i komercyjnych, aby uniknąć wykrycia przez systemy antywirusowe. Najnowsza kampania wykryta przez Kaspersky dostarcza kolejnego dowodu na to, że ta taktyka ewoluuje i sięga po nowe kanały dystrybucji. Platforma WhatsApp, powszechnie używana zarówno prywatnie, jak i w komunikacji biznesowej, staje się tu nośnikiem złośliwych skryptów VBScript podszywających się pod dokumenty robocze.
Mechanizm infekcji: fałszywy dokument, realne przejęcie kontroli
Ofiara otrzymuje przez WhatsApp plik podszywający się pod dokument (fakturę, ofertę handlową, instrukcję) z rozszerzeniem, które na pierwszy rzut oka wygląda jak PDF lub DOCX. W rzeczywistości jest to plik VBScript (.vbs). Po uruchomieniu skrypt pobiera i cicho instaluje ManageEngine Remote Monitoring and Management — legalne oprogramowanie używane przez administratorów IT do zdalnego zarządzania komputerami. Instalacja odbywa się w tle, a interfejs narzędzia nie jest prezentowany użytkownikowi.
Po zakończeniu instalacji atakujący uzyskują pełny dostęp do urządzenia przez panel ManageEngine: mogą przeglądać pliki, wykonywać komendy, instalować dodatkowe złośliwe oprogramowanie, a nawet nadawać sobie uprawnienia administratora. Ponieważ ManageEngine jest legalnym narzędziem używanym przez firmy na całym świecie, ruch sieciowy między zainfekowanym urządzeniem a serwerami atakujących może nie wzbudzać podejrzeń firewalli i systemów DLP.
Dlaczego WhatsApp jest skutecznym wektorem ataku?
Skuteczność tej kampanii wynika z kilku czynników. Po pierwsze, WhatsApp jest powszechnie postrzegany jako kanał komunikacji osobistej — użytkownicy mają niższą czujność wobec plików otrzymywanych przez znajomych lub pozornie znane kontakty. Po drugie, aplikacja mobilna WhatsApp na Androidzie i iOS automatycznie pobiera pliki multimedialne, co może skrócić czas reakcji ofiary. Po trzecie, VBScript jest natywnym interpreterem Windows, który domyślnie jest dostępny w większości korporacyjnych środowisk i rzadko blokowany przez polityki systemowe.
Kampania jest szczególnie groźna w środowiskach, gdzie pracownicy używają WhatsApp do komunikacji z klientami lub partnerami biznesowymi — co jest powszechne w MŚP i w wielu branżach usługowych. Atak celuje nie w techniczne luki systemu, lecz w czynnik ludzki — skłonność do otwierania plików przysyłanych przez pozornie wiarygodne kontakty.
Jak chronić organizację przed tego rodzaju zagrożeniami?
Ochrona przed atakami opartymi na socjotechnice i nadużyciu legalnych narzędzi wymaga podejścia wielowarstwowego:
- Polityki blokowania VBScript — wiele organizacji może bezpiecznie wyłączyć interpreter VBScript przez Group Policy lub Windows Defender Exploit Guard, co eliminuje ten wektor ataku.
- Zarządzanie oprogramowaniem RMM — stosowanie allowlist zatwierdzonych narzędzi RMM i blokowanie nieautoryzowanych instalacji przez MDM lub endpoint management.
- Szkolenia pracowników — uświadamianie, że pliki VBS, WSF, JS i inne skrypty otrzymane przez komunikatory mogą być złośliwe, niezależnie od pozornego źródła.
- Monitoring endpoint — EDR (Endpoint Detection and Response) zdolny do wykrywania anomalii w zachowaniu procesów, jak instalacja oprogramowania przez skrypty w tle.
- Segmentacja sieci — ograniczenie dostępu do krytycznych zasobów z niezarządzanych lub nieautoryzowanych urządzeń.
AbejaIT: zarządzanie bezpieczeństwem punktów końcowych
Ochrona urządzeń pracowników przed zaawansowanymi atakami socjotechnicznymi wymaga zarówno odpowiedniej technologii, jak i procesów i kultury bezpieczeństwa w organizacji. AbejaIT oferuje wsparcie w zakresie infrastruktury IT, obejmujące wdrożenie i konfigurację systemów EDR, polityk zarządzania urządzeniami (MDM) oraz audytów bezpieczeństwa endpoint.
Równie ważnym elementem jest doradztwo IT w zakresie budowania polityk bezpieczeństwa dostosowanych do specyfiki organizacji — w tym zasad korzystania z komunikatorów w celach służbowych, zarządzania dostępem narzędzi RMM i procedur zgłaszania incydentów. Skontaktuj się z nami, aby omówić, jak skutecznie zabezpieczyć środowisko pracy Twojej firmy przed tego rodzaju zagrożeniami.
Wnioski i długoterminowa ochrona
Kampania VBScript/ManageEngine przypomina nam, że socjotechnika i nadużywanie legalnych narzędzi pozostają jednymi z najtrudniejszych wektorów do zablokowania czysto technicznymi środkami. Każde oprogramowanie uznane przez systemy bezpieczeństwa za legalne może stać się narzędziem ataku, jeśli jego instalacja zostanie zainicjowana złośliwym kodem. Dlatego obok technicznych mechanizmów ochrony kluczowe jest inwestowanie w procedury i kulturę bezpieczeństwa.
Firmy powinny opracować jasne zasady dotyczące korzystania z komunikatorów w celach służbowych: jakie pliki można przesyłać przez WhatsApp, jakie rodzaje plików wymagają weryfikacji przed otwarciem i jak zgłaszać podejrzane wiadomości do zespołu IT. Regularne ćwiczenia phishingowe symulujące ataki przez komunikatory mobilne zwiększają odporność pracowników na rzeczywiste kampanie. Systemy MDM (Mobile Device Management) pozwalają egzekwować te zasady na poziomie urządzeń, blokując instalację oprogramowania spoza zatwierdzonych źródeł niezależnie od tego, jak przekonująca jest prośba o pobranie. Połączenie technologii, procesów i świadomości tworzy wielowarstwową obronę, która znacznie utrudnia tego rodzaju kampanie atakującym.
Źródło: The Hacker News