Una nuova campagna malware attiva a livello internazionale sta sfruttando WhatsApp per distribuire script VBScript malevoli progettati per installare software di monitoraggio e gestione remota sui dispositivi Windows delle vittime. L’operazione utilizza account WhatsApp compromessi per inviare allegati apparentemente legittimi che imitano documenti finanziari, estratti conto, fatture e notifiche di pagamento. Una volta aperto il file, l’utente attiva inconsapevolmente una complessa catena di infezione multi-stadio che termina con l’installazione silenziosa di ManageEngine Endpoint Central, una piattaforma RMM legittima ma abusata dagli aggressori per ottenere accesso remoto persistente. La campagna risulta particolarmente diffusa in Malaysia, ma sono state osservate infezioni anche in numerosi altri Paesi, confermando una portata internazionale e un approccio opportunistico rivolto principalmente agli utenti privati.
Cosa leggere
Gli account WhatsApp compromessi diventano vettori di infezione
La distribuzione del malware avviene attraverso account WhatsApp già compromessi dagli aggressori. Questa scelta aumenta significativamente la credibilità dell’attacco poiché gli allegati vengono ricevuti direttamente da contatti presenti nella rubrica della vittima. I messaggi non contengono generalmente testo o spiegazioni aggiuntive, ma solo il file allegato, elemento che riduce la possibilità di rilevamento automatico e sfrutta il rapporto di fiducia esistente tra mittente e destinatario. Le analisi effettuate sui campioni raccolti mostrano che lo stesso account compromesso può inviare simultaneamente il medesimo allegato a numerosi contatti. Questa tecnica permette agli attaccanti di propagare rapidamente la campagna senza dover ricorrere a infrastrutture di spam tradizionali. L’utilizzo di piattaforme di messaggistica come WhatsApp conferma inoltre una tendenza crescente che vede i cybercriminali spostarsi verso canali più personali e meno monitorati rispetto alla posta elettronica.
I file malevoli imitano documenti finanziari e amministrativi
L’intera operazione si basa su una forte componente di ingegneria sociale. Gli script VBS vengono mascherati con nomi che simulano documentazione aziendale o finanziaria. Tra gli esempi osservati figurano file come Financial Reports.vbs, Debt confirmation.vbs, Statement of Debt(30K).vbs, Outstanding Payment List.vbs e Account Statement.vbs. Per aumentare ulteriormente il numero di potenziali vittime, gli aggressori hanno creato varianti localizzate in diverse lingue, tra cui portoghese, francese, tedesco e malese. Sono stati identificati nomi come Extrato de Conciliação.vbs, Aviso de dívida.vbs, Penyata bank.vbs e Sila semak bil anda.vbs. L’obiettivo è convincere l’utente che il file ricevuto rappresenti un documento amministrativo urgente o una comunicazione economica rilevante, inducendolo ad aprire l’allegato senza ulteriori verifiche.
La campagna colpisce utenti WhatsApp Desktop e WhatsApp Web
L’attacco interessa sia WhatsApp Desktop sia WhatsApp Web, adattando il comportamento in base all’ambiente utilizzato dalla vittima. Nel caso della versione desktop il file viene generalmente eseguito direttamente dall’applicazione dopo il download. Quando invece viene utilizzata la versione web, l’esecuzione passa attraverso il browser o tramite explorer.exe, sfruttando i normali meccanismi di gestione dei file di Windows. La catena di compromissione richiede due azioni da parte dell’utente: il download del file e la successiva esecuzione. Questa doppia interazione permette agli aggressori di aggirare alcune protezioni automatiche e di mantenere un’apparenza di legittimità. Una volta avviato lo script, l’intero processo di infezione procede automaticamente senza ulteriori richieste di conferma visibili alla vittima.
Il primo stadio utilizza VBScript altamente offuscati
Gli script osservati presentano tecniche avanzate di offuscamento finalizzate a ostacolare l’analisi e il rilevamento da parte delle soluzioni di sicurezza. I file utilizzano concatenazioni di stringhe, variabili generate casualmente, codice inutile inserito intenzionalmente e ricostruzione dinamica di URL e percorsi di sistema. In molte varianti compaiono commenti scritti in cinese semplificato che simulano componenti di Windows Update, descrivendo presunti controlli di integrità del sistema e verifiche dei certificati digitali. Lo script iniziale viene eseguito tramite wscript.exe, crea una directory nascosta all’interno di C:\Users\Public\Documents\ e scarica ulteriori payload da server controllati dagli aggressori. Alcuni campioni copiano strumenti di sistema come curl.exe, bitsadmin.exe e certutil.exe, rinominandoli per confondere eventuali analisi forensi.
La seconda fase modifica le impostazioni di sicurezza di Windows
Una volta completata la fase iniziale, la catena di infezione passa alla modifica delle impostazioni di sicurezza del sistema operativo. Uno dei payload interviene direttamente sulla chiave di registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin, impostandone il valore a zero. Questa modifica riduce o elimina i prompt di conferma associati al Controllo dell’account utente (UAC), facilitando l’esecuzione di operazioni privilegiate senza ulteriori avvisi. Parallelamente viene creata una nuova directory nascosta nella quale vengono scaricati archivi ZIP contenenti i componenti finali dell’infezione. I download vengono effettuati utilizzando diversi strumenti di sistema e, una volta completati, i file vengono estratti automaticamente attraverso l’interfaccia COM di Windows. Gli aggressori rimuovono inoltre gli stream Zone.Identifier per eliminare gli avvisi che normalmente segnalano contenuti scaricati da Internet.
L’ultima fase installa silenziosamente ManageEngine Endpoint Central
La fase finale dell’attacco culmina con l’installazione di ManageEngine Endpoint Central, una piattaforma legittima utilizzata normalmente per amministrazione remota, gestione endpoint e distribuzione software. Gli aggressori sfruttano il software come strumento di accesso remoto persistente, configurandolo preventivamente con indirizzi IP, certificati e parametri necessari per collegarsi all’infrastruttura sotto il loro controllo. Lo script setup1.vbs verifica la presenza dei file necessari, ottiene privilegi amministrativi tramite il meccanismo runas e avvia msiexec.exe in modalità completamente silenziosa. L’utente non visualizza finestre di installazione né richieste di conferma. Una volta completata l’operazione, il sistema compromesso risulta registrato all’interno della piattaforma RMM controllata dagli attaccanti, che possono così gestire il dispositivo da remoto come se fosse un endpoint aziendale autorizzato.
L’abuso dei software RMM continua a crescere
L’utilizzo di strumenti RMM legittimi come vettore post-compromissione è diventato una delle tecniche preferite da numerosi gruppi cybercriminali. Soluzioni come ManageEngine Endpoint Central, AnyDesk, ScreenConnect, TeamViewer e altri software analoghi consentono agli aggressori di mimetizzare la propria attività all’interno di applicazioni comunemente utilizzate in ambito aziendale. Poiché questi strumenti sono firmati digitalmente e riconosciuti come legittimi, molte soluzioni di sicurezza non li classificano immediatamente come minacce. Nel caso della campagna WhatsApp, l’installazione dell’agente RMM rappresenta il vero obiettivo operativo dell’attacco, poiché garantisce persistenza, accesso remoto e possibilità di distribuire ulteriori payload in una fase successiva.
Malaysia epicentro delle infezioni osservate
Le analisi disponibili indicano che circa l’80% delle vittime identificate si trova in Malaysia, ma la campagna ha già raggiunto numerosi altri Paesi tra cui Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia e Vietnam. La distribuzione geografica suggerisce un approccio opportunistico piuttosto che un’operazione mirata contro specifici settori industriali o organizzazioni. Le vittime appartengono prevalentemente alla categoria degli utenti individuali che utilizzano WhatsApp come principale strumento di comunicazione personale e professionale. La localizzazione dei nomi dei file in diverse lingue conferma inoltre l’intenzione degli operatori di espandere il più possibile la superficie di attacco e massimizzare il numero di infezioni ottenibili attraverso gli account compromessi.
I commenti in cinese e i collegamenti con infrastrutture note
L’attribuzione dell’operazione rimane al momento incerta. Gli analisti hanno individuato numerosi commenti in cinese semplificato all’interno degli script VBS, elemento che potrebbe suggerire il coinvolgimento di sviluppatori sinofoni. Alcuni indirizzi IP utilizzati dall’infrastruttura risultano inoltre associati in passato a campagne che impiegavano ValleyRAT e Gh0st RAT, due famiglie malware frequentemente osservate in contesti legati ad attori di lingua cinese. Tuttavia questi elementi non sono sufficienti per attribuire con certezza la campagna a uno specifico gruppo. È possibile che gli aggressori stiano semplicemente riutilizzando infrastrutture esistenti o componenti già impiegati in operazioni precedenti. Gli stessi ricercatori sottolineano che qualsiasi attribuzione deve essere considerata a bassa confidenza.
WhatsApp diventa un nuovo terreno di diffusione malware
La campagna dimostra come le piattaforme di messaggistica stiano assumendo un ruolo sempre più centrale nelle strategie di distribuzione malware. Sfruttando account compromessi, file apparentemente innocui e strumenti amministrativi legittimi, gli aggressori riescono a costruire una catena di infezione estremamente efficace e difficile da individuare nelle fasi iniziali. L’abuso di VBScript, la modifica delle impostazioni UAC e l’installazione di un software RMM come ManageEngine Endpoint Central consentono di ottenere accesso persistente senza ricorrere a malware tradizionali facilmente riconoscibili. La diffusione internazionale della campagna e la sua capacità di adattarsi linguisticamente ai diversi mercati dimostrano un livello di organizzazione elevato e confermano come il confine tra strumenti amministrativi legittimi e attività malevole continui a diventare sempre più sottile nel panorama delle minacce moderne.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
