Campanha no WhatsApp Distribui VBScript Malicioso para Instalar Ferramentas RMM
Atacantes estão aproveitando o WhatsApp Desktop e Web para distribuir arquivos VBScript disfarçados como documentos legítimos, levando à instalação não autorizada de software ManageEngine RMM. A campanha, identificada pela Kaspersky, visa usuários em múltiplos países, incluindo Malásia, Brasil, Índia e Reino Unido.
TL;DR
- Arquivos VBScript maliciosos estão sendo distribuídos via Mensagens Diretas do WhatsApp para instalar ferramentas ManageEngine RMM sem consentimento do usuário
- Campanha visa usuários de WhatsApp Desktop e Web em pelo menos nove países, indicando escopo geográfico amplo
- Atacantes usam iscas de documentos falsos para enganar usuários a executarem scripts que comprometem o acesso e capacidades de monitoramento do sistema
- O abuso de ferramentas RMM permite que atacantes obtenham acesso remoto persistente e controle sobre endpoints comprometidos
Uma campanha coordenada está explorando ativamente a plataforma de mensagens WhatsApp para distribuir arquivos VBScript maliciosos que levam à instalação não autorizada de software legítimo de Monitoramento e Gerenciamento Remoto (RMM). Pesquisadores de segurança da Kaspersky identificaram a ameaça direcionada aos clientes WhatsApp Desktop e Web em múltiplas regiões geográficas.
A cadeia de ataque se baseia em táticas de engenharia social, com atores de ameaça enviando mensagens diretas contendo arquivos disfarçados como documentos benignos. Quando executados, esses scripts instalam silenciosamente ferramentas ManageEngine RMM, concedendo aos atacantes acesso remoto e controle persistente sobre sistemas das vítimas. Esta técnica representa uma tendência crescente de weaponização de ferramentas administrativas legítimas para fins maliciosos.
A distribuição geográfica generalizada de alvos—abrangendo Malásia, Brasil, Índia, México, Singapura, Reino Unido, Espanha, Taiwan e Austrália—sugere uma operação em larga escala ou múltiplos atores de ameaça usando táticas similares.
Mecanismo de Ataque e Entrega
- Atores de ameaça distribuem arquivos VBScript através de Mensagens Diretas do WhatsApp para usuários de Desktop e Web
- Arquivos maliciosos são disfarçados como documentos legítimos para contornar suspeita do usuário e conscientização de segurança
- A execução de VBScript leva à instalação automatizada de software ManageEngine RMM sem autorização explícita do usuário
- O uso do WhatsApp como vetor de entrega explora a confiança e acessibilidade da plataforma entre usuários empresariais
Avaliação de Risco e Impacto
- O comprometimento bem-sucedido concede aos atacantes capacidades de monitoramento e gerenciamento remoto sobre sistemas afetados
- O abuso de ferramentas RMM permite movimento lateral, exfiltração de dados e acesso de backdoor persistente
- As vítimas podem não estar cientes do comprometimento, permitindo que atacantes operem sem detecção por períodos prolongados
- A campanha visa múltiplos países, indicando potencial para ataques na cadeia de suprimentos ou operações de espionagem direcionada
Recomendações de Defesa
- Implemente políticas de whitelist de aplicações para restringir a execução de scripts não autorizados e ferramentas RMM
- Eduque usuários sobre riscos de executar arquivos recebidos via plataformas de mensagens, especialmente de contatos desconhecidos
- Monitore instalações inesperadas de ferramentas RMM e conexões de rede para servidores de comando e controle suspeitos
- Implemente soluções de detecção e resposta de endpoint (EDR) para identificar e bloquear anomalias de execução de VBScript
- Revise e restrinja permissões de ferramentas administrativas para limitar movimento lateral se o comprometimento ocorrer
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.