Mensagens diretas enviadas pelo WhatsApp estão sendo usadas para distribuir arquivos maliciosos em Visual Basic Script (VBScript) que levam à instalação de softwares legítimos de Monitoramento e Gerenciamento Remoto (RMM, na sigla em inglês).
De acordo com descobertas da Kaspersky, a campanha ativa está mirando usuários do WhatsApp Desktop e do WhatsApp Web em Malásia, Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan, Austrália, Rússia e Vietnã. A maior concentração de vítimas foi registrada na Malásia.
"O agente da ameaça usa nomes de arquivo enganosos, fingindo serem documentos corporativos e financeiros, para convencer os destinatários a baixar e executar o anexo", afirmou o pesquisador de segurança Fareed Radzi. "Uma vez executado, o VBScript inicia uma cadeia de infecção em múltiplas etapas que, por fim, resulta na instalação de um software legítimo de Monitoramento e Gerenciamento Remoto, permitindo o acesso remoto ao sistema da vítima."
Suspeita-se que o agente da ameaça por trás da operação tenha conseguido obter acesso clandestino a diversas contas do WhatsApp e, em seguida, as usado como vetor de distribuição para os arquivos em VBScript entre os contatos. Dito isso, ainda não está claro exatamente como essas contas foram comprometidas.
Os arquivos VBScript, fortemente ofuscados, são apresentados como documentos corporativos e financeiros aparentemente inofensivos, usando nomes como "Relatórios Financeiros.vbs" ou "Extrato de Conta.vbs". Alguns dos arquivos também recebem nomes em outros idiomas, como português, francês, alemão e malaio, refletindo o caráter global da campanha.
"Além disso, as amostras de VBScript contêm comentários extensos e metadados criados para imitar componentes legítimos do Windows Update da Microsoft", explicou a Kaspersky. "Muitos desses comentários são escritos em chinês e incluem referências a módulos do Windows Update, validação de certificados, verificações de integridade do sistema e funcionalidades relacionadas à implantação."
O arquivo VBScript é executado por meio do "WScript.exe", que então busca e roda componentes adicionais em VBScript necessários para as próximas etapas do ataque. Vale notar que a cadeia de infecção se comporta de forma um pouco diferente dependendo se a vítima está usando o WhatsApp Web ou o aplicativo WhatsApp Desktop.
No caso do primeiro, o ataque depende de que o usuário baixe o arquivo para o sistema e, em seguida, o abra pela pasta de downloads ou pelo histórico de downloads do navegador, acreditando se tratar de um documento legítimo. No WhatsApp Desktop, o malware é executado diretamente dentro do aplicativo, com a árvore de processos revelando que o "WhatsApp.Root.exe", processo em segundo plano associado ao cliente, é o responsável
