Cybercriminali sfruttano WhatsApp per attacchi di phishing

Ignoti cybercriminali stanno utilizzando WhatsApp per inviare messaggi contenenti file VBScript, che, una volta eseguiti, installano uno strumento per il controllo remoto sui dispositivi Windows. Questo tipo di attacco mira a far compromettere la sicurezza dei dispositivi degli utenti, permettendo ai criminali informatici di rubare i dati sensibili o installare altri malware.

Campagna di phishing su larga scala

Gli esperti di Kaspersky hanno identificato un'ampia campagna malware che sfrutta WhatsApp per distribuire un tool di accesso remoto. Gli utenti che rischiano di essere colpiti sono concentrati principalmente in Paesi come Malesia, Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia e Vietnam. Gli attacchi sono in corso da diversi mesi e i ricercatori non hanno segni che indichino che l'operazione possa essere conclusa.

Messaggi fasulli con file dannosi

I ricercatori hanno osservato che i cybercriminali hanno creato messaggi simili e li hanno inviati a molti utenti. Gli autori hanno preso il controllo di diversi account WhatsApp (il metodo esatto non è stato rilevato) e li hanno utilizzati per spedire i messaggi ai propri contatti. Per ingannare gli utenti, i file VBScript sono nascosti dentro nome che sembravano legittimi, come fatture, rapporti finanziari e bolle di pagamento.

Lavoro di installazione nel background

Se un utente apre un file VBScript ricevuto tramite WhatsApp su Windows, lo script scarica altri due file.Uno disattiva la protezione UAC (User Account Control) modificando una chiave del registro del sistema, l’altro scarica un archivio ZIP. Questo contenuto include un software legittimo chiamato "ManageEngine Endpoint Central", un tool di gestione remota.

I file vengono estratti automaticamente e il software viene installato in background. Quando il programma è attivo, connette il dispositivo vittima a un server gestito dagli hacker. A questo punto, gli aggressori possono eseguire azioni come rubare dati sensibili, monitorare attivitа dell'utente o installare ulteriore software dannoso.

Fondi di ricerca non rivelano gli autori

Gli esperti di Kaspersky non sono riusciti a identificare chi sta dietro l’attacco, ma i dati suggeriscono una possibile provenienza cinese. Gli indirizzi IP rilevati sono gli stessi associati a ValleyRAT e Gh0st RAT, gruppi conosciuti nel mondo della cybercrime che si specializzano in accesso remoto non autorizzato.

Consigli agli utenti

• Evitare di aprire file estranei inviati tramite WhatsApp.
• Soprattutto, non eseguire alcun file eseguibile ricevuto da contatti poco conosciuti.
• Se il file richiesto sembra sospetto, verificare con il mittente attraverso canali diversi da WhatsApp.
• Aggiornare il sistema operativo e installare una buona suite antivirus per proteggere il pc.

Per comprendere meglio il problema suggeriamo di visitare il sito Bleeping Computer, che ha fornito informazioni importanti riguardo questa minaccia. Essere informati è il primo passo verso una maggiore sicurezza digitale.