Onderzoekers van Kaspersky hebben een nieuwe malwarecampagne ontdekt die zich via WhatsApp verspreidt. Aanvallers maken daarbij gebruik van schadelijke VBScript-bestanden om systemen van bedrijven volledig over te nemen zonder dat ze het door hebben.
De campagne is inmiddels waargenomen in verschillende Europese landen, waaronder Spanje, Duitsland en het Verenigd Koninkrijk. De cybercriminelen richten hun pijlen specifiek op zakelijke gebruikers van WhatsApp Desktop en WhatsApp Web.
Gerichte social engineering
De aanvalsmethode leunt sterk op social engineering. Slachtoffers ontvangen berichten met bestanden die eruit zien als legitieme zakelijke of financiële documenten. Bestandsnamen zijn aangepast aan de lokale taal van het doelwit, om zo meer vertrouwen te winnen dat gebruikers ze downloaden en openen.
Zodra een gebruiker op een Windows-pc het bestand dat doet, treedt een geavanceerde vorm van infectie in werking stelt het beveiligingsbedrijf. Het kwaadaardige VBScript dat wordt geactiveerd, downloadt op de achtergrond extra componenten van de infrastructuur van de aanvallers. Vervolgens past het script systeeminstellingen aan om de ingebouwde Windows-beveiliging te verzwakken.
Hoog risico voor specifieke bedrijfstakken
Hoewel elke organisatie doelwit kan zijn, lopen bepaalde sectoren extra risico door hun intensieve gebruik van WhatsApp op de pc. Klantenservices en supportafdelingen springen er dan direct uit. Medewerkers zijn getraind om snel te reageren en openen dagelijks talloze bijlagen, bijvoorbeeld screenshots, storingstickets of klachtomschrijvingen, van voor hen onbekende nummers. Dit maakt hen een gemakkelijke prooi voor geraffineerde social engineering.
Daarnaast is de praktijk van ‘conversational commerce’ de laatste jaren enorm gegroeid. Sectoren zoals recruitment, groothandel en de logistieke sector leunen ook steeds zwaarder op WhatsApp Desktop. Ook zzp’ers en MKB-bedrijven gebruiken WhatsApp Business vaak als primair communicatiekanaal met leveranciers en klanten. Doordat de door Kaspersky gevonden vorm van malware vermomd is als zakelijke of financiële correspondentie, sluit de aanvalsmethode perfect aan op de reguliere workflow binnen deze sectoren.
Misbruik van legitieme RMM-software
Het uiteindelijke doel van de infectie is het installeren van Remote Monitoring and Management-software. Door gebruik te maken van legitieme RMM-tools vallen de aanvallers minder snel op bij traditionele beveiligingssoftware. Eenmaal geïnstalleerd, biedt deze software criminelen echter wel volledige en permanente toegang tot het getroffen systeem op afstand.
Lees ook: Meta riskeert 17,3 miljard euro boete om WhatsApp-chatverbod
WhatsApp Desktop vs. WhatsApp Web
Opvallend is dat het infectiepad verschilt per platform. Kaspersky meldt dat de aanval bij de WhatsApp Web, de versie die in de browser draait, vereist dat het bestand eerst handmatig wordt gedownload en uitgevoerd door de gebruiker. Dat is niet het geval als men de desktopapplicatie van WhatsApp gebruikt. Daarbij kan het script rechtstreeks worden geopend via de ingebouwde Windows Script Host. Dat zorgt ervoor dat via die versies veel meer computers gecompromitteerd worden.
IT-afdelingen wordt geadviseerd om medewerkers extra te wijzen op de gevaren van het ontvangen van ongevraagde bestanden via chat-apps zoals WhatsApp. Daarnaast kan het strikt reguleren of blokkeren van Windows Script Host via groepsbeleid helpen om dergelijke scriptgebaseerde aanvallen in de kiem te smoren.