Pesquisadores da Microsoft encontrado uma campanha que abusa de anexos do WhatsApp para inserir um script em máquinas Windows, o que fará com que o invasor obtenha controle remoto.
O WhatsApp oferece um aplicativo de desktop para Windows e macOS, que os usuários podem sincronizar com seus dispositivos móveis. As versões desktop do WhatsApp são geralmente usadas como extensões de aplicativos móveis, em vez de plataformas primárias. Portanto, embora exista um amplo uso desses aplicativos, sua taxa de adoção é provavelmente significativamente menor quando comparada às plataformas móveis.
No ano passado, escrevemos sobre o Meta fechando uma vulnerabilidade que permitia a um invasor executar código arbitrário em um sistema Windows que existia em todas as versões do WhatsApp anteriores a 2.2450.6.
Os ataques descobertos pela Microsoft, porém, baseiam-se exclusivamente em engenharia social. O alvo recebe um anexo do WhatsApp que parece bastante inofensivo, mas na verdade é um arquivo .vbs (Visual Basic Script) que o Windows pode executar.
Se o invasor conseguir convencer a vítima a executar o arquivo no Windows, o script copiará as ferramentas integradas do Windows em uma pasta oculta e fornecerá nomes enganosos para que pareçam inofensivos à primeira vista.
E as próprias ferramentas são legítimas, mas são usadas para baixar malware. Uma técnica clássica de viver fora da terra (LOTL) que usa o que já está no sistema em vez de introduzir binários de malware que seriam detectados em uma varredura.
Os próximos scripts são extraídos de provedores de nuvem populares, de modo que o tráfego de rede parece um acesso normal à AWS, Tencent Cloud ou Backblaze, em vez de algum servidor obscuro que levantaria sinais de alerta.
Para desligar outros alarmes possíveis, o malware continua tentando se elevar ao nível de administrador e, em seguida, ajusta os prompts do UAC (Controle de Conta de Usuário) e as configurações do registro para que possa fazer alterações silenciosamente no nível do sistema e persistir durante as reinicializações.
No final da cadeia de infecção, um MSI (Microsoft Installer) não assinado configura software de acesso remoto e outras cargas úteis, proporcionando ao invasor acesso prático e contínuo à máquina e aos dados.
Como se manter seguro
Para usuários domésticos e pequenas empresas, existem algumas etapas práticas para se manterem seguros:
- Não abra anexos não solicitados até verificar com uma fonte confiável se eles são seguros.
- Ative Exibir extensões de nome de arquivo no Explorer para que um arquivo que afirma ser uma imagem, mas que termina em .vbs ou .msi, possa ser identificado como tal.
- Use uma solução antimalware atualizada em tempo real para interromper conexões indesejadas e identificar arquivos maliciosos.
- Baixe o software apenas do site oficial do fornecedor e verifique se os instaladores estão assinados.
- Não ignore os sinais de alerta. Solicitações inesperadas do UAC, novo software aparecendo repentinamente ou sua máquina ficando lenta após abrir um anexo do WhatsApp são motivos para uma verificação antimalware e, se necessário, esteja preparado para restaurar a partir de um backup limpo.
- Mantenha o Windows e todos os outros aplicativos atualizados para evitar a exploração de vulnerabilidades conhecidas.
Não apenas informamos ameaças: nós as removemos
Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.
Deseja saber mais sobre Segurança Clique Aqui!
backdoor,WhatsApp no Windows
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.