Nova globalna WhatsApp prevara: Ako vam stigne ovakva poruka od prijatelja - obratite pažnju!
Bezbednosni stručnjaci iz kompanije Kaspersky otkrili su masovne napade koji primarno ciljaju korisnike platformi WhatsApp Desktop i WhatsApp Web širom sveta. Ova opasna operacija direktno zloupotrebljava poverenje među kontaktima kako bi inficirala računare i hakerima omogućila potpunu kontrolu nad operativnim sistemom Windows.
Sajber kriminalci pokreću lanac infekcije slanjem poruka sa već kompromitovanih WhatsApp naloga koji pripadaju stvarnim kontaktima žrtava. Primljene poruke ne sadrže nikakav prateći tekst, već samo priloženu datoteku koja na prvi pogled izgleda kao legitimni poslovni izveštaj. Budući da datoteke stižu od poznatih i proverenih ljudi, korisnici masovno nasedaju na prevaru i preuzimaju zlonamerni sadržaj bez ikakve sumnje.
Napadači koriste visoko zamršene VBScript (VBS) izvršne datoteke koje uspešno maskiraju u standardne formate za kancelarijsko poslovanje. Lažni dokumenti nose nazive poput finansijskih izveštaja, faktura, obaveštenja o dugovanjima ili bankarskih izvoda. Da bi prevara bila još uverljivija, nazivi ovih opasnih datoteka su lokalizovani na više svetskih jezika, uključujući engleski, portugalski, francuski, nemački i malajski.
Skriveni mehanizam i tehnika infekcije
Kada žrtva pokrene preuzeti VBS dokument na svom računaru, aktivira se automatski Windows Script Host proces koji neprimetno radi u pozadini sistema. Prvobitna skripta odmah kreira skriveni radni direktorijum na lokalnom disku i preuzima dodatne maliciozne komponente sa udaljenih servera pod kontrolom hakera.
Istovremeno, uočeni uzorci koda sadrže lažne komentare o ažuriranju Windows sistema kako bi prevarili bezbednosne alate.
Druga faza ovog napada fokusirana je na zaobilaženje ugrađenih bezbednosnih barijera unutar operativnog sistema. Dodatne skripte vrše agresivne izmene u sistemskom registru sa ciljem da promene ponašanje i potpuno neutrališu User Account Control (UAC) zaštitu. Nakon uspešne sabotaže sistema, malver preuzima kompresovanu ZIP arhivu koja sadrži instalacioni paket za dalji proboj.
Zloupotreba legitimnog softvera za kontrolu
Krajnji cilj ove sajber operacije jeste tajna instalacija legitimnog softverskog rešenja pod nazivom ManageEngine Endpoint Central. Reč je o zvaničnom alatu koji IT administratori u kompanijama regularno koriste za upravljanje sistemima i računarima sa centralne konzole. Hakeri zloupotrebljavaju ovu legalnu platformu kako bi osigurali stalni pristup i nesmetano upravljali zaraženim računarom bez znanja vlasnika.
Nakon tihe instalacije u pozadini, softver se automatski povezuje sa upravljačkim serverima koje su postavili napadači. Na taj način kriminalci dobijaju pune administrativne privilegije, mogućnost krađe podataka i nadzor nad aktivnostima žrtve. Analitičari iz Kaspersky tima su locirali preklapanja u mrežnoj infrastrukturi koja ukazuju na ranije kineske pretnje poput ValleyRAT-a.
Geografski domet i ugrožene grupe
Istraživanja pokazuju da ova opasna kampanja ima globalni karakter, sa zabeleženim žrtvama u velikom broju zemalja na nekoliko kontinenata. Najveći udeo uspešnih infekcija, čak oko 80 procenata od svih detektovanih slučajeva, trenutno je zabeležen na teritoriji Malezije. Pored toga, zvanični izveštaji potvrđuju napade u Brazilu, Indiji, Meksiku, Singapuru, Velikoj Britaniji, Španiji, Tajvanu, Australiji, Rusiji i Vijetnamu.
Ova prevara je posebno opasna za mala preduzeća, slobodne umetnike, knjigovođe i finansijske timove koji svakodnevno komuniciraju sa klijentima. Pošto ove grupe stalno razmenjuju fakture i ugovore kroz aplikaciju WhatsApp, lažni dokumenti se lako utapaju u njihovu rutinu.
Preventivne mere i koraci zaštite
Stručnjaci za sajber bezbednost apeluju na sve korisnike da budu maksimalno oprezni sa datotekama koje dobijaju kroz čet aplikacije. Čak i kada datoteka stiže od bliske osobe, neophodno je telefonskim pozivom ili drugim kanalom proveriti da li je ona zaista poslata. Svaki dokument koji ima sumnjivu ekstenziju treba odmah tretirati kao potencijalnu opasnost za računar.
Korisnici moraju striktno izbegavati otvaranje izvršnih formata kao što su VBS, VBE, EXE, BAT, CMD ili JS preko aplikacije WhatsApp. Sve preuzete materijale treba obavezno skenirati ažuriranim i pouzdanim antivirusnim programima pre samog pokretanja.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
