Una campagna di phishing su WhatsApp sta colpendo gli utenti di mezzo mondo con messaggi che sembrano arrivare da contatti fidati ma nascondono un trucco insidioso. Dietro nomi di file che richiamano documenti aziendali e finanziari si cela in realtà un attacco capace di prendere il controllo da remoto dei computer Windows. La trappola è semplice quanto efficace, perché sfrutta la fiducia che le persone ripongono nei propri contatti.
A muovere i fili è un gruppo di attaccanti che ha già violato diversi account WhatsApp e li usa per diffondere file dannosi. I bersagli ricevono messaggi che contengono soltanto un file VBScript pesantemente offuscato, ribattezzato in modo da sembrare un rendiconto finanziario, una fattura o un avviso sul conto. Insomma, tutta roba che invoglia ad aprire l’allegato senza pensarci troppo. E qui scatta il problema.
Come funziona la catena di infezione
I dati di telemetria raccolti parlano chiaro, la campagna si è già diffusa in Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia, Vietnam e Malesia. I nomi dei file, tra l’altro, sono tradotti in più lingue, segno evidente di una portata globale ben studiata. Una volta che la vittima scarica e apre il file su Windows, il VBScript recupera due script aggiuntivi dall’infrastruttura degli attaccanti.
Questi script disattivano le protezioni UAC tramite modifiche al Registro di sistema, poi scaricano un archivio ZIP che contiene un software del tutto legittimo, ManageEngine Endpoint Central. Si tratta di uno strumento normalmente usato dagli amministratori IT per gestire i sistemi da una dashboard centralizzata. Solo che qui viene installato in silenzio, sullo sfondo, e configurato per collegarsi ai server controllati dagli aggressori. Il risultato è un accesso remoto completo al computer della vittima.
C’è un dettaglio tecnico che vale la pena sottolineare. Quando il file VBScript arriva tramite WhatsApp Web deve essere prima scaricato, mentre se viene aperto dal client WhatsApp Desktop può partire direttamente attraverso Windows Script Host, cioè il processo wscript.exe. Una differenza che cambia parecchio il livello di rischio a seconda di come si utilizza l’applicazione.
Chi c’è dietro e come difendersi
Sull’identità degli attaccanti non ci sono certezze. I ricercatori hanno notato tracce di lingua cinese e alcune sovrapposizioni nell’infrastruttura con indirizzi IP già collegati in passato alle attività di ValleyRAT e Gh0st RAT. Mancano però prove sufficienti per un’attribuzione affidabile, quindi al momento ogni nome resta solo un’ipotesi. Il metodo esatto con cui questi account WhatsApp sono stati compromessi, peraltro, rimane sconosciuto. Un punto che lascia aperti diversi interrogativi sulla solidità della catena di sicurezza che porta fino agli utenti finali.
Il consiglio per chi usa WhatsApp è di trattare con cautela qualsiasi file inviato dai contatti, anche da quelli più fidati. Meglio verificare sempre l’autenticità di un allegato attraverso un canale alternativo, magari una telefonata diretta, prima di aprire qualcosa. E ogni file scaricato andrebbe analizzato con un antivirus aggiornato prima di eseguirlo, perché bastano pochi secondi di disattenzione per consegnare le chiavi del proprio computer a degli sconosciuti.