WhatsApp, fałszywe dokumenty i RMM

TL;DR

Kaspersky opisał aktywną kampanię, w której złośliwe pliki VBScript były rozsyłane przez WhatsApp. Pliki udawały dokumenty biznesowe i finansowe, takie jak raporty, wyciągi, potwierdzenia zadłużenia czy zestawienia płatności. Po uruchomieniu na Windows infekcja prowadziła do instalacji legalnego narzędzia Remote Monitoring and Management, czyli RMM, skonfigurowanego pod serwery kontrolowane przez atakujących.

Najważniejszy mechanizm nie polega na tym, że WhatsApp jest złośliwy. Problem polega na przeniesieniu zaufania z kontaktu na załącznik. Jeżeli wiadomość pochodzi z przejętego konta znajomego, współpracownika albo kontrahenta, użytkownik może uznać plik za bezpieczny.

Dla firm to scenariusz szczególnie ważny, bo coraz więcej komunikacji operacyjnej dzieje się poza klasyczną pocztą. WhatsApp, Signal, Teams, Messenger i prywatne kanały kontaktu stają się miejscem, w którym użytkownik podejmuje decyzje biznesowe, ale często poza pełną kontrolą poczty, sandboxa i filtrów mailowych.

Jak działa ten atak

Według Kaspersky kampania zaczynała się od wiadomości w WhatsApp zawierającej sam załącznik. Nie było rozbudowanej treści, długiego uzasadnienia ani klasycznej wiadomości e-mail. Przynętą była nazwa pliku, która sugerowała dokument finansowy, rozliczeniowy lub biznesowy.

Badacze wskazali przykłady nazw odnoszących się do raportów finansowych, potwierdzeń długu, wyciągów, zestawień płatności i dokumentów rozliczeniowych. Część nazw była lokalizowana w różnych językach, co sugeruje próbę dopasowania przynęty do odbiorców z wielu krajów.

Po kliknięciu w plik użytkownik musiał go pobrać i uruchomić. W WhatsApp Desktop skrypt mógł zostać wykonany bezpośrednio z klienta aplikacji przez Windows Script Host, czyli mechanizm Windows służący do uruchamiania skryptów. W WhatsApp Web plik trafiał do folderu pobranych plików albo historii pobierania przeglądarki.

Dalej skrypt pobierał kolejne komponenty, próbował zmienić ustawienia User Account Control, czyli UAC, i instalował przygotowany pakiet ManageEngine Endpoint Central. To legalne narzędzie do zarządzania stacjami roboczymi, ale w tym scenariuszu działało jako narzędzie zdalnego dostępu dla atakującego.

Dlaczego to działa na użytkownika

Użytkownik nie widzi anonimowej wiadomości z obcego serwera. Widzi plik w komunikatorze, często od kontaktu, którego zna. To zmienia ocenę ryzyka. W poczcie firmowej pracownik może spodziewać się filtrów, banerów ostrzegawczych i testów phishingowych. W komunikatorze prywatnym albo mieszanym granica jest mniej wyraźna.

Drugim elementem jest dokument biznesowy. Nazwa pliku nie musi być idealna. Wystarczy, że brzmi jak coś, co użytkownik może dostać w pracy: potwierdzenie płatności, zestawienie, nota, rozliczenie, wyciąg, faktura albo lista zaległości. Jeżeli odbiorca jest w biegu, może otworzyć plik tylko po to, aby sprawdzić, czego dotyczy.

Trzeci element to legalne narzędzie RMM. W wielu organizacjach tego typu programy są używane przez administratorów i helpdesk. Jeśli EDR lub użytkownik widzi znaną nazwę produktu, może nie potraktować jej jak klasycznego malware. To znany problem: legalne narzędzie w złym procesie staje się narzędziem ataku.

Polski i firmowy kontekst

W Polsce podobny scenariusz może wyglądać bardzo zwyczajnie. Pracownik dostaje na WhatsApp albo Signal plik opisany jako faktura, potwierdzenie przelewu, wezwanie do zapłaty, zestawienie dostaw, rozliczenie transportu, dokument kadrowy albo korekta danych.

W małych firmach WhatsApp bywa realnym kanałem kontaktu z klientami, ekipami terenowymi, podwykonawcami i kontrahentami. W większych organizacjach prywatne komunikatory często pojawiają się na styku sprzedaży, logistyki, serwisu i zarządu. To tworzy lukę: proces biznesowy idzie kanałem, którego Security nie widzi tak dobrze jak poczty.

Warto łączyć ten temat z podstawową edukacją o tym, co to jest phishing, ale też z ćwiczeniami dotyczącymi załączników, komunikatorów i zdalnego dostępu. Sam zakaz używania komunikatora nie wystarczy, jeśli procesy w firmie i tak tam trafiają.

Co powinien zrobić użytkownik

Użytkownik nie powinien uruchamiać skryptów, plików wykonywalnych ani nietypowych dokumentów przesłanych przez komunikator, nawet jeśli nadawcą jest znajomy kontakt. Szczególnie podejrzane są pliki z rozszerzeniami VBS, VBE, EXE, BAT, CMD, JS, PS1, SCR oraz archiwa, z których po rozpakowaniu wychodzi plik uruchamialny.

Jeżeli plik wygląda jak faktura, rozliczenie albo wyciąg, należy potwierdzić jego autentyczność drugim kanałem. Nie wystarczy odpisać na tę samą rozmowę, bo konto nadawcy mogło zostać przejęte. Lepsze jest połączenie telefoniczne, firmowy e-mail albo kontakt przez znany numer.

Jeżeli sprawa dotyczy dokumentu służbowego, użytkownik powinien zgłosić plik do IT lub Security i nie próbować samodzielnie sprawdzać go na prywatnym komputerze. To szczególnie ważne, gdy plik został otwarty przez WhatsApp Desktop na służbowym Windowsie.

Co powinny zrobić IT, Security i SOC

Organizacja powinna jasno określić, jakie kanały są dopuszczalne do przesyłania dokumentów służbowych. Jeżeli komunikatory są używane w praktyce, trzeba uwzględnić je w programie awareness, a nie udawać, że problem nie istnieje.

Zespoły techniczne powinny ograniczyć uruchamianie skryptów przez Windows Script Host tam, gdzie nie ma uzasadnienia biznesowego. Warto kontrolować uruchomienia wscript.exe, cscript.exe, bitsadmin, certutil, PowerShell, msiexec oraz nietypowe instalacje narzędzi RMM. Sam fakt, że produkt jest legalny, nie oznacza, że jego instalacja była autoryzowana.

SOC powinien zwracać uwagę na uruchomienia skryptów z lokalizacji powiązanych z klientem WhatsApp Desktop, folderem pobranych plików i katalogami tymczasowymi. Ważna jest też kontrola nowych agentów zdalnego zarządzania, certyfikatów, usług i połączeń do nieznanych serwerów zarządzających.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik tylko otrzymał plik, powinien zgłosić wiadomość i nie otwierać załącznika. Warto zachować zrzut ekranu, nazwę pliku i dane rozmowy, aby zespół bezpieczeństwa mógł sprawdzić, czy podobna wiadomość trafiła do innych osób.

Jeżeli plik został pobrany, ale nie uruchomiony, należy go przekazać do analizy zgodnie z procedurą firmy. Nie należy go otwierać ponownie ani przesyłać dalej przez prywatne kanały.

Jeżeli plik został uruchomiony, urządzenie trzeba odłączyć od sieci i zgłosić incydent do IT lub Security. Nie należy kasować plików ani czyścić historii, bo utrudni to analizę. Zespół techniczny powinien sprawdzić procesy, usługi, wpisy autostartu, instalacje RMM, uruchomienia wscript.exe, połączenia sieciowe i konta użyte na urządzeniu.

Jeżeli komputer był używany do bankowości, poczty, systemów firmowych lub paneli administracyjnych, trzeba założyć ryzyko kradzieży danych uwierzytelniających i sesji. Wtedy konieczna jest zmiana haseł, reset sesji, sprawdzenie MFA i analiza logowań.

Jak ćwiczyć ten scenariusz w awareness

Ten scenariusz dobrze nadaje się do testów phishingowych poza klasyczną pocztą. Nie chodzi o to, aby zachęcać ludzi do strachu przed każdym komunikatorem. Chodzi o sprawdzenie, czy użytkownik rozumie, że zaufany kontakt nie oznacza zaufanego pliku.

W kontrolowanym ćwiczeniu można użyć przynęty w postaci fałszywego dokumentu biznesowego, ale bez realnego malware. Ważne jest mierzenie kilku momentów: czy użytkownik pobrał plik, czy próbował go otworzyć, czy zgłosił wiadomość, czy potwierdził autentyczność drugim kanałem i czy wiedział, co zrobić po błędzie.

Takie ćwiczenie powinno być połączone z edukacją o testach phishingowych dla firm, bo pokazuje, że odporność organizacji nie kończy się na poczcie.

Konkretna zasada na koniec

Plik z komunikatora trzeba traktować jak załącznik z e-maila, nawet jeśli przysłała go znana osoba. Jeżeli dokument uruchamia skrypt albo wymaga instalacji czegokolwiek, proces powinien zostać przerwany i zgłoszony, zanim komputer stanie się zdalnie zarządzanym punktem wejścia do firmy.