В WhatsApp началась новая фишинговая атака: как защититься от поддельных деловых документов

Как работает новая фишинговая атака в WhatsApp

В последние недели в нескольких странах мира начала активно распространяться новая фишинговая кампания, нацеленная на пользователей мессенджера WhatsApp. Злоумышленники используют взломанные аккаунты других пользователей, чтобы отправлять от их имени поддельные бизнес-документы. Эти сообщения содержат только один файл — замаскированный под деловой документ VBScript, который при запуске начинает процесс заражения системы.

Кибербезопасный конфигуратор Windows 11 не помогает в этом случае, так как атака использует легитимное программное обеспечение ManageEngine Endpoint Central, которое злоумышленники устанавливают через цепочку скриптов. После установки программа настраивается на подключение к серверам, контролируемым атакующими, предоставляя им удалённый доступ к заражённому компьютеру. Важно отметить, что если файл доставляется через веб-версию WhatsApp, его необходимо сначала скачать, а в десктопном клиенте он может запуститься автоматически через Windows Script Host.

Где уже зафиксированы атаки и как масштабируется кампания

По данным одного из ведущих разработчиков решений для кибербезопасности, кампания уже охватила более десяти стран, включая Бразилию, Индию, Мексику, Сингапур, Великобританию, Испанию, Тайвань, Австралию, Россию, Вьетнам и Малайзию. Это указывает на глобальный характер угрозы и на то, что злоумышленники адаптируют свои атаки под разные языки и регионы.

Файлы-приманки получают локализованные названия, имитирующие финансовые отчёты, платёжные документы или уведомления об оплате. Такие названия повышают вероятность того, что пользователь откроет файл, особенно если он приходит от знакомого контакта, чей аккаунт был ранее скомпрометирован. Эксперты отмечают, что точный способ взлома WhatsApp-аккаунтов пока не установлен, но это не мешает атаке успешно распространяться.

Механизм заражения: от первого клика до удалённого доступа

После того как пользователь открывает VBScript, тот начинает выполнять цепочку команд. Скрипт загружает из интернета два дополнительных скрипта, которые модифицируют системный реестр, отключая защиту UAC (Контроль учётных записей пользователей). Это необходимо для того, чтобы избежать запроса на подтверждение действий со стороны системы.

Далее загружается ZIP-архив с легитимной программой ManageEngine Endpoint Central. Она устанавливается в фоновом режиме и настраивается на подключение к управляющим серверам, которые контролируются злоумышленниками. В результате атакующие получают полный удалённый доступ к заражённому компьютеру, что позволяет им выполнять любые действия от имени пользователя.

Почему ManageEngine Endpoint Central используется злоумышленниками

ManageEngine Endpoint Central — это легитимный инструмент для системных администраторов, который позволяет централизованно управлять устройствами в корпоративных сетях. Злоумышленники используют его, чтобы замаскировать свои действия под обычную административную активность. Поскольку программа известна и доверена многими ИТ-отделами, её присутствие на компьютере может остаться незамеченным.

Кроме того, после установки программа настраивается на подключение к внешним серверам, что позволяет атакующим обходить стандартные корпоративные защитные механизмы. Это делает атаку особенно опасной для организаций, где используются подобные инструменты управления.

Как отличить поддельный документ от настоящего

Основной признак фишинговой атаки — это неожиданное сообщение от контакта с вложением, которое не соответствует обычной практике общения. Если от знакомого приходит файл с названиями вроде "Счёт-фактура_№12345.vbs" или "Финансовый отчёт_Q3.vbs", стоит насторожиться. Также важно обращать внимание на язык сообщения — если оно приходит на языке, который не характерен для общения с этим контактом, это может быть признаком компрометации аккаунта.

Ещё один тревожный сигнал — автоматическое выполнение файла в десктопном клиенте WhatsApp без запроса на скачивание. Если такое происходит, велика вероятность, что файл уже содержит вредоносный код. В любом случае, перед открытием любых вложений стоит уточнить у отправителя, действительно ли он их отправлял.

Какие устройства и операционные системы находятся под угрозой

Атака нацелена на пользователей Windows, так как VBScript и ManageEngine Endpoint Central работают именно на этой платформе. Пользователи macOS и Linux не подвержены этой конкретной угрозе, но это не означает, что они полностью защищены от других атак через WhatsApp.

Важно отметить, что даже если устройство не является основной мишенью, оно может быть использовано для дальнейшего распространения атаки. Например, если заражённый компьютер находится в корпоративной сети, злоумышленники могут использовать его для атаки на другие устройства в этой сети.

Что делать, если вы стали жертвой атаки

Если вы подозреваете, что ваш компьютер был заражён, первым делом необходимо отключить его от интернета, чтобы предотвратить дальнейшее распространение угрозы. Затем следует запустить полную проверку системы с помощью антивирусного программного обеспечения. Если у вас установлен ManageEngine Endpoint Central, проверьте, подключается ли он к неожиданным серверам.

Также рекомендуется сменить пароли для всех важных учётных записей, особенно если вы использовали тот же пароль на других ресурсах. Если заражение произошло на рабочем компьютере, необходимо уведомить службу безопасности компании. В некоторых случаях может потребоваться полная переустановка системы.

Как защититься от подобных атак в будущем

Основной способ защиты — это бдительность. Никогда не открывайте вложения и не переходите по ссылкам в сообщениях от неожиданных отправителей, даже если они выглядят как деловые документы. Если сообщение кажется странным, уточните у отправителя, действительно ли он его отправлял.

Также рекомендуется отключить автоматическое выполнение VBScript через Windows Script Host, если это не мешает вашей работе. Для этого можно использовать групповые политики или редакторы реестра. Не менее важно регулярно обновлять операционную систему и антивирусное программное обеспечение, чтобы закрывать известные уязвимости.

Если вы используете ManageEngine Endpoint Central или аналогичные инструменты в своей компании, настройте их так, чтобы они подключались только к доверенным серверам. Это поможет снизить риск использования этих программ злоумышленниками.

Вывод: почему эта атака заслуживает особого внимания

Новая фишинговая кампания в WhatsApp демонстрирует, как злоумышленники адаптируют свои тактики под современные мессенджеры и легитимные инструменты. Использование поддельных бизнес-документов и легитимного ПО для удалённого доступа делает атаку особенно опасной и сложной для обнаружения.

Пользователям важно сохранять бдительность, проверять подозрительные сообщения и регулярно обновлять свои защитные механизмы. Для компаний, использующих ManageEngine Endpoint Central, необходимо усилить контроль за подключениями этого ПО к внешним серверам. Только так можно минимизировать риски и предотвратить подобные инциденты в будущем.