Microsoftの研究者は、WhatsAppの添付ファイルを悪用してWindowsマシンにスクリプトを忍び込ませるキャンペーンを発見しました。これにより攻撃者がリモートコントロールを獲得する可能性があります。
WhatsAppはWindows版とmacOS版のデスクトップアプリケーションを提供しており、ユーザーはモバイルデバイスと同期できます。デスクトップ版のWhatsAppは、一般的には主要プラットフォームというより、むしろモバイルアプリの拡張として使用されます。したがって、これらのアプリの広範な使用は存在しますが、モバイルプラットフォームと比較すると、採用率はおそらく大幅に低いです。
昨年、私たちはMetaがWhatsApp 2.2450.6以前のすべてのバージョンに存在した、攻撃者がWindowsシステム上で任意のコードを実行できるようにする脆弱性を修正したことについて書きました。
しかし、Microsoftが発見した攻撃はもっぱらソーシャルエンジニアリングに基づいています。標的は一見無害に見えるWhatsApp添付ファイルを受け取りますが、それは実際にはWindowsが実行できる.vbs(Visual Basic Script)ファイルです。
攻撃者が被害者をWindowsでファイルを実行するよう説得できた場合、スクリプトは組み込みのWindowsツールを隠しフォルダにコピーし、一見すると無害に見えるように誤解を招く名前を付けます。
ツール自体は正当なものですが、マルウェアをダウンロードするために悪用されます。スキャンで検出されるマルウェアバイナリを導入する代わりに、システムに既に存在するものを使用する、古典的な「Living off the Land(LOTL)」テクニックです。
次のスクリプトは人気のあるクラウドプロバイダーから取得されるため、ネットワークトラフィックは疑わしいサーバーからではなく、AWS、Tencent Cloud、またはBackblazeへの通常のアクセスのように見えます。
他の可能なアラームをオフにするために、マルウェアは管理者権限に昇格しようとし続け、その後UAC(ユーザーアカウント制御)プロンプトとレジストリ設定を調整して、システムレベルの変更をサイレントに実行し、再起動後も永続化できるようにします。
感染チェーンの最後に、署名されていないMSI(Microsoft Installer)がリモートアクセスソフトウェアと他のペイロードをセットアップし、攻撃者にマシンとデータへの継続的なハンズオンアクセスを与えます。
安全に保つ方法
ホームユーザーと中小企業のために、安全に保つための実用的なステップがあります:
- 信頼できる情報源で安全であることを確認するまで、未承諾の添付ファイルを開かないでください。
- Explorerでファイル名拡張子を表示をオンにして、画像だと主張しているが.vbsまたは.msiで終わるファイルをそのように識別できるようにしてください。
- 最新のリアルタイムアンチマルウェアソリューションを使用して、不要な接続を停止し、悪意のあるファイルを特定してください。
- ベンダーの公式サイトからのみソフトウェアをダウンロードし、インストーラーが署名されていることを確認してください。
- 警告の兆候を無視しないでください。予期しないUACプロンプト、新しいソフトウェアが突然表示される、またはWhatsApp添付ファイルを開いた後にマシンが遅くなることは、すべてアンチマルウェアスキャンの理由となります。必要に応じてクリーンバックアップから復元する準備をしてください。
- 既知の脆弱性の悪用を防ぐため、WindowsおよびすべてのアプリケーションをCurrent(最新の状態)に保ってください。
