WhatsApp sotto attacco: phishing con documenti aziendali falsi per installare malware

Un nuovo attacco di phishing su WhatsApp sta prendendo di mira utenti in tutto il mondo con messaggi che sembrano provenire da contatti fidati e contengono file dannosi. La campagna, attiva in almeno dodici paesi, sfrutta documenti finanziari falsi per indurre le vittime a scaricare e aprire allegati che, una volta eseguiti, danno accesso remoto ai computer colpiti. Secondo quanto riportato da fonti di telemetria, l’infezione si diffonde tramite account WhatsApp compromessi, che inviano automaticamente file VBScript a contatti e gruppi. L’obiettivo finale è installare un software legittimo di gestione remota, che viene poi utilizzato dagli attaccanti per controllare i sistemi delle vittime senza che queste se ne accorgano.

La catena di attacco inizia con un messaggio ricevuto tramite WhatsApp, apparentemente inviato da un contatto noto. Il testo non contiene testo, ma solo un file allegato con estensione .vbs o .js, il cui nome è stato scelto per apparire come un documento aziendale o finanziario: fatture, estratti conto, avvisi di pagamento o report di bilancio. I nomi dei file sono stati localizzati in diverse lingue, tra cui portoghese, spagnolo, cinese, russo e inglese, a conferma del carattere internazionale della campagna. Una volta aperto il file, il VBScript avvia una serie di download aggiuntivi: due script secondari vengono prelevati da server controllati dagli attaccanti. Questi script modificano le impostazioni del Registro di sistema di Windows per disabilitare le protezioni di Controllo Account Utente (UAC), un meccanismo che normalmente blocca l’esecuzione di software non autorizzato. A questo punto, viene scaricato un archivio ZIP contenente ManageEngine Endpoint Central, uno strumento legittimo utilizzato dagli amministratori IT per gestire i dispositivi aziendali da remoto.

Una volta installato, il software si connette a server di comando e controllo gestiti dagli attaccanti, che ottengono così un accesso amministrativo completo al computer della vittima. Questo permette loro di eseguire comandi, rubare dati, installare ulteriori malware o muoversi lateralmente all’interno della rete locale. La particolarità di questo attacco è che ManageEngine Endpoint Central viene usato in modo improprio: invece di essere uno strumento di gestione autorizzato, diventa un cavallo di Troia per il controllo remoto non autorizzato. Secondo le analisi, la catena di infezione funziona sia quando il file viene scaricato da WhatsApp Web e poi aperto manualmente, sia quando viene eseguito direttamente tramite l’applicazione desktop di WhatsApp, che in alcuni casi avvia automaticamente Windows Script Host (wscript.exe) per eseguire il VBScript ricevuto. Questo rende l’attacco particolarmente insidioso, poiché non richiede sempre l’interazione esplicita dell’utente oltre all’apertura del file.

Come funziona il phishing su WhatsApp: l’inganno dei documenti aziendali

L’elemento chiave di questa campagna è l’uso di documenti aziendali come esca. Gli attaccanti sfruttano la fiducia che gli utenti ripongono nei messaggi ricevuti da contatti noti, soprattutto in ambito lavorativo. Un utente che riceve un messaggio con un file chiamato “Fattura_Q3_2024.vbs” o “Rapporto_Finanziario_Mensile.pdf.js” potrebbe essere indotto a pensare che si tratti di un documento legittimo, soprattutto se il mittente è qualcuno con cui collabora regolarmente. La localizzazione dei nomi dei file in più lingue aumenta ulteriormente la credibilità dell’attacco, poiché rende il messaggio apparentemente rilevante per la lingua e il contesto dell’utente.

Una volta che la vittima scarica e apre il file, il VBScript inizia la sua esecuzione. Il primo passaggio consiste nel disabilitare le protezioni di sistema, in particolare l’UAC, che normalmente richiederebbe all’utente di confermare l’esecuzione di un programma. Disabilitando questa funzione, gli attaccanti evitano che l’utente riceva avvisi o richieste di autorizzazione, rendendo l’infezione silenziosa e automatica. Successivamente, il VBScript scarica altri due script secondari da server remoti. Questi script sono progettati per preparare il terreno all’installazione del software ManageEngine, modificando ulteriori impostazioni di sistema e assicurandosi che il processo di installazione non venga rilevato dai software antivirus.

La scelta di ManageEngine Endpoint Central come payload finale non è casuale. Si tratta di uno strumento legittimo, ampiamente utilizzato nelle aziende per la gestione centralizzata dei dispositivi. Questo rende più difficile il rilevamento da parte dei sistemi di sicurezza, poiché il traffico di rete e i processi in esecuzione sembrano legittimi. Inoltre, poiché lo strumento è progettato per comunicare con server di gestione centralizzati, gli attaccanti possono sfruttare questa infrastruttura per mantenere l’accesso al sistema compromesso nel tempo, anche dopo che la vittima ha riavviato il computer.

La portata globale dell’attacco: quali paesi sono coinvolti

Secondo le analisi di telemetria, la campagna si sta diffondendo in diversi paesi, con una presenza significativa in Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia, Vietnam e Malesia. La varietà geografica suggerisce che gli attaccanti stiano conducendo una campagna mirata ma su larga scala, probabilmente utilizzando account WhatsApp compromessi in diverse regioni. L’uso di nomi di file localizzati indica che gli attaccanti stanno adattando il loro approccio alle lingue e alle abitudini locali, aumentando così le probabilità che le vittime abbiano familiarità con i termini utilizzati e siano più inclini a scaricare il file.

La distribuzione geografica dell’attacco solleva anche domande sulla metodologia utilizzata per compromettere gli account WhatsApp. Al momento non è chiaro quale sia il vettore iniziale di infezione: gli attaccanti potrebbero aver sfruttato vulnerabilità note in WhatsApp, phishing mirato tramite SMS o email, o attacchi di ingegneria sociale per ottenere l’accesso agli account. Una volta compromesso un account, gli attaccanti possono inviare messaggi a tutti i contatti della vittima, aumentando esponenzialmente la portata dell’attacco. Questo metodo di propagazione è particolarmente efficace perché sfrutta la fiducia che gli utenti ripongono nei messaggi ricevuti da contatti noti, rendendo più difficile distinguere tra un messaggio legittimo e uno dannoso.

Un altro aspetto preoccupante è che WhatsApp Web e WhatsApp Desktop sembrano gestire i file VBScript in modo diverso. Quando il file viene ricevuto tramite WhatsApp Web, l’utente deve scaricarlo manualmente e poi aprirlo, il che offre un’opportunità per interrompere la catena di infezione. Tuttavia, quando il file viene ricevuto tramite l’applicazione desktop, in alcuni casi viene eseguito automaticamente tramite Windows Script Host, senza richiedere alcuna azione aggiuntiva da parte dell’utente. Questo rende l’attacco ancora più pericoloso per gli utenti che utilizzano WhatsApp Desktop su Windows, poiché il rischio di infezione involontaria aumenta significativamente.

Il ruolo di ManageEngine Endpoint Central: uno strumento legittimo usato come arma

ManageEngine Endpoint Central è un software di gestione dei dispositivi sviluppato da Zoho Corporation, ampiamente utilizzato nelle aziende per monitorare, aggiornare e proteggere i computer da remoto. È uno strumento legittimo, progettato per semplificare la gestione IT, ma può essere sfruttato dagli attaccanti per ottenere accesso non autorizzato ai sistemi. Nel caso di questa campagna, gli attaccanti hanno modificato il software per connettersi a server di comando e controllo di loro proprietà, trasformandolo in un backdoor permanente sul dispositivo della vittima.

Una volta installato, ManageEngine Endpoint Central si configura per comunicare con server remoti, permettendo agli attaccanti di eseguire comandi, scaricare ulteriori malware o esfiltrare dati. Poiché il software è legittimo, il traffico di rete potrebbe non essere bloccato dai firewall aziendali o dai sistemi di rilevamento delle intrusioni, rendendo l’attacco più difficile da individuare. Inoltre, poiché lo strumento è progettato per funzionare in background, gli utenti potrebbero non accorgersi della presenza del malware, a meno che non utilizzino strumenti di monitoraggio avanzati.

Questo caso evidenzia un problema crescente nel panorama delle minacce informatiche: l’abuso di software legittimo per scopi dannosi. Gli attaccanti cercano sempre più spesso di sfruttare strumenti che sono già presenti nei sistemi delle vittime, poiché questi sono meno probabili a essere bloccati dai software antivirus. Inoltre, l’uso di software legittimo rende più difficile attribuire l’attacco a un gruppo specifico, poiché il traffico di rete e i processi in esecuzione sembrano normali.

Perché gli utenti dovrebbero preoccuparsi: rischi e conseguenze dell’infezione

Per gli utenti finali, l’infezione da questo tipo di malware può avere conseguenze gravi. Una volta che gli attaccanti hanno ottenuto l’accesso remoto al computer, possono eseguire una vasta gamma di azioni dannose. Possono rubare dati personali, come password, informazioni finanziarie o documenti sensibili, e utilizzarli per ulteriori attacchi o per vendita nel dark web. Possono anche installare ransomware, criptando i file della vittima e chiedendo un riscatto per il loro recupero. In ambito aziendale, gli attaccanti potrebbero muoversi lateralmente all’interno della rete, compromettendo altri dispositivi e causando danni diffusi.

Un altro rischio significativo è rappresentato dalla persistenza dell’accesso. Poiché ManageEngine Endpoint Central viene configurato per comunicare con server di comando e controllo, gli attaccanti possono mantenere l’accesso al sistema anche dopo che la vittima ha riavviato il computer o reinstallato il sistema operativo. Questo rende l’infezione particolarmente difficile da rimuovere, richiedendo spesso l’intervento di un esperto di sicurezza informatica per analizzare e pulire completamente il sistema.

Per gli utenti privati, le conseguenze possono includere il furto di identità, l’accesso non autorizzato a conti bancari o social media, e la perdita di dati personali. Per le aziende, l’infezione può portare a violazioni della sicurezza dei dati, perdite finanziarie e danni alla reputazione. In un contesto in cui la sicurezza informatica è sempre più importante, questo tipo di attacco rappresenta una minaccia concreta che richiede attenzione e prevenzione.

Come proteggersi: consigli pratici per utenti e aziende

Per proteggersi da attacchi di questo tipo, gli utenti devono adottare alcune misure di sicurezza fondamentali. Innanzitutto, è importante essere cauti con i file ricevuti tramite messaggistica istantanea, anche se sembrano provenire da contatti noti. Prima di aprire qualsiasi allegato, è consigliabile verificare con il mittente che il file sia stato effettivamente inviato. Inoltre, è fondamentale evitare di abilitare l’esecuzione automatica di script, come i file VBScript, soprattutto se non si è certi della loro origine.

Un altro passo importante è mantenere aggiornati sia il sistema operativo che il software antivirus. Gli aggiornamenti regolari aiutano a correggere vulnerabilità note che gli attaccanti potrebbero sfruttare per compromettere il sistema. Inoltre, è consigliabile disabilitare le funzioni di esecuzione automatica di script tramite Windows Script Host, soprattutto se non si utilizzano regolarmente script personalizzati. Questo può essere fatto modificando le impostazioni del Registro di sistema o utilizzando strumenti di gestione delle politiche di gruppo in ambito aziendale.

Per le aziende, è fondamentale implementare politiche di sicurezza che limitino l’uso di strumenti di gestione remota come ManageEngine Endpoint Central solo a utenti autorizzati. Inoltre, è consigliabile monitorare il traffico di rete per rilevare connessioni sospette a server esterni, soprattutto se provengono da software legittimi che comunicano con domini non autorizzati. L’uso di soluzioni di rilevamento e risposta (EDR) può aiutare a identificare comportamenti anomali e bloccare attacchi in corso.

Cosa devono fare le vittime: come riconoscere e rimuovere l’infezione

Se si sospetta di essere stati colpiti da questo attacco, è importante agire rapidamente per limitare i danni. I segni di un’infezione possono includere comportamenti anomali del sistema, come rallentamenti improvvisi, finestre pop-up o l’avvio di processi sconosciuti. Se si nota uno di questi sintomi, è consigliabile scollegare immediatamente il computer dalla rete per evitare che gli attaccanti possano accedere ulteriormente al sistema.

Per rimuovere l’infezione, è possibile utilizzare strumenti di rimozione malware come Malwarebytes, Windows Defender Offline o altri software antivirus in grado di rilevare e rimuovere script dannosi e backdoor. Tuttavia, poiché ManageEngine Endpoint Central può essere configurato per persistere anche dopo la rimozione del malware, potrebbe essere necessario reinstallare completamente il sistema operativo per assicurarsi che tutti i componenti dannosi siano stati eliminati. In ambito aziendale, è consigliabile coinvolgere il reparto IT o un esperto di sicurezza informatica per condurre un’analisi approfondita e garantire che il sistema sia completamente pulito.

È inoltre importante segnalare l’incidente alle autorità competenti, come la polizia postale o le autorità nazionali per la sicurezza informatica, per aiutare a identificare e fermare gli attaccanti. Inoltre, è consigliabile avvisare i contatti che potrebbero aver ricevuto messaggi dannosi dal proprio account, per evitare che anche loro diventino vittime dell’attacco.

Il futuro delle minacce su piattaforme di messaggistica: cosa aspettarsi

Questo attacco rappresenta solo un esempio di come le piattaforme di messaggistica istantanea stiano diventando un vettore sempre più popolare per la diffusione di malware. Con l’aumento dell’uso di WhatsApp, Telegram e altre piattaforme per comunicazioni sia personali che professionali, gli attaccanti stanno trovando nuovi modi per sfruttare la fiducia degli utenti e diffondere minacce. In futuro, è probabile che vedremo un aumento di campagne di phishing mirate, che utilizzano messaggi personalizzati e documenti locali per indurre le vittime a scaricare file dannosi.

Per contrastare questa tendenza, le piattaforme di messaggistica dovranno implementare misure di sicurezza più avanzate, come il rilevamento automatico di file sospetti o l’analisi dei messaggi per identificare pattern di phishing. Gli utenti, d’altra parte, dovranno diventare più consapevoli dei rischi e adottare pratiche di sicurezza più rigorose, come la verifica dell’origine dei file e l’uso di strumenti di sicurezza aggiuntivi.

Inoltre, gli sviluppatori di software di gestione remota dovranno prestare maggiore attenzione alla sicurezza dei propri prodotti, assicurandosi che non possano essere sfruttati dagli attaccanti per scopi dannosi. Questo potrebbe includere l’implementazione di meccanismi di autenticazione più robusti o la limitazione delle funzionalità che possono essere utilizzate per scopi non autorizzati.

In conclusione, la campagna di phishing su WhatsApp che sfrutta documenti aziendali falsi rappresenta una minaccia concreta e in evoluzione. Gli utenti e le aziende devono essere consapevoli dei rischi e adottare misure di sicurezza adeguate per proteggersi. Solo attraverso una combinazione di consapevolezza, prevenzione e risposta tempestiva sarà possibile contrastare efficacemente questo tipo di attacchi.