Attenzione: un file ricevuto su WhatsApp da un contatto apparentemente fidato potrebbe nascondere un pericoloso malware.
Se ultimamente hai ricevuto file allegati su WhatsApp Desktop o Web, specialmente con estensioni insolite o con nomi sospetti, è fondamentale non aprirli senza una verifica accurata. Un recente attacco informatico sfrutta proprio la piattaforma di messaggistica per diffondere un malware scritto in VBScript (VBS) che, una volta eseguito, installa un software di gestione remota sul computer Windows. Questo consente agli attaccanti di accedere e controllare il dispositivo a distanza, con potenziali rischi per la privacy, i dati sensibili e la sicurezza del sistema.
La soluzione rapida: non aprire file allegati sospetti su WhatsApp, soprattutto se provenienti da contatti inaspettati o con nomi di file strani. Se hai già aperto un file o noti comportamenti anomali del PC, scansiona immediatamente il sistema con un antivirus aggiornato, disconnettiti da Internet e rivolgiti a un tecnico qualificato. Mantieni il sistema operativo e i software aggiornati e abilita l’autenticazione a due fattori su WhatsApp per ridurre il rischio di compromissione dell’account.
Cos’è il malware VBS su WhatsApp
Il malware alla base di questa campagna è scritto in VBScript, un linguaggio di scripting utilizzato per automatizzare compiti su sistemi Windows. Quando l’utente riceve un file allegato su WhatsApp (spesso mascherato come documento, immagine o archivio) e lo esegue, il codice VBS viene attivato. Il malware sfrutta le vulnerabilità o le debolezze di configurazione del sistema per installare un software di gestione remota, in questo caso ManageEngine Endpoint Central.
ManageEngine Endpoint Central è una soluzione legittima utilizzata da molte organizzazioni per gestire e monitorare i dispositivi in rete. Tuttavia, quando viene installato senza il consenso dell’utente o per scopi malevoli, diventa uno strumento potente per gli attaccanti. Permette di accedere al desktop, controllare i file, avviare applicazioni e persino eseguire comandi remoti, il che può portare al furto di dati, alla diffusione ulteriore del malware o all’utilizzo del dispositivo per attacchi contro altri sistemi.
Come si diffonde l’attacco
La campagna di malware si diffonde principalmente tramite WhatsApp Desktop e la versione web della piattaforma. Gli attaccanti inviano messaggi a contatti apparentemente fidati (ad esempio amici, colleghi o familiari) che contengono un file allegato. Il messaggio spesso è progettato per sembrare innocuo o urgente, incoraggiando l’utente a scaricare e aprire il file il prima possibile.
Una volta aperto il file, il codice VBS viene eseguito sul sistema Windows. Il malware può sfruttare le autorizzazioni dell’utente per installare ManageEngine Endpoint Central o altri software di gestione remota. In alcuni casi, il malware può anche disabilitare o eludere le protezioni di sicurezza esistenti, rendendo più difficile il rilevamento e la rimozione.
I rischi per gli utenti
L’installazione di ManageEngine Endpoint Central o di altri software di gestione remota senza consenso presenta diversi rischi significativi:
- Accesso remoto non autorizzato: Gli attaccanti possono controllare il dispositivo a distanza, visualizzare lo schermo, accedere ai file e persino registrare le digitazioni da tastiera.
- Furto di dati: I dati sensibili, come credenziali di accesso, documenti personali o finanziari, possono essere copiati e inviati agli attaccanti.
- Diffusione ulteriore del malware: Il dispositivo compromesso può essere utilizzato per diffondere ulteriormente il malware ad altri contatti o sistemi.
- Utilizzo per attacchi contro terzi: Gli attaccanti possono utilizzare il dispositivo come parte di una botnet per condurre attacchi di negazione del servizio (DDoS) o altre attività malevole.
- Perdita di privacy: La privacy dell’utente è gravemente compromessa, con potenziali violazioni della riservatezza delle comunicazioni e delle attività online.
Come proteggere il proprio dispositivo
Per proteggere il proprio dispositivo da questo tipo di attacchi, è fondamentale adottare le seguenti misure:
- Non aprire file sospetti: Evita di aprire file allegati su WhatsApp, specialmente se provenienti da contatti inaspettati o con nomi di file strani. Se hai dei dubbi, chiedi conferma al mittente tramite un altro canale.
- Mantieni il sistema aggiornato: Assicurati che il sistema operativo e tutti i software siano aggiornati con le ultime patch di sicurezza. Gli aggiornamenti spesso correggono vulnerabilità sfruttate dai malware.
- Usa un antivirus aggiornato: Installa e mantieni aggiornato un software antivirus affidabile che sia in grado di rilevare e rimuovere malware.
- Abilita l’autenticazione a due fattori: Abilita l’autenticazione a due fattori su WhatsApp e su altri servizi online per ridurre il rischio di compromissione dell’account.
- Esegui scansioni regolari: Esegui scansioni regolari del sistema con l’antivirus per rilevare eventuali minacce.
- Sii cauto con i link e i file: Non fare clic su link o aprire file provenienti da fonti sconosciute o non affidabili.
- Educa gli utenti: Se gestisci un’organizzazione, educa i dipendenti sui rischi dei malware e sulle best practice per la sicurezza informatica.
Cosa fare se il dispositivo è stato compromesso
Se sospetti che il tuo dispositivo sia stato compromesso da questo malware, segui questi passaggi:
- Disconnetti da Internet: Scollega il dispositivo da Internet per impedire agli attaccanti di continuare ad accedere al sistema.
- Esegui una scansione antivirus: Esegui una scansione completa del sistema con un antivirus aggiornato per rilevare e rimuovere il malware.
- Cambia le password: Cambia immediatamente le password di tutti gli account importanti, inclusi quelli di posta elettronica, social media e servizi finanziari.
- Controlla le attività recenti: Verifica le attività recenti sul tuo account WhatsApp e su altri servizi per individuare eventuali accessi non autorizzati.
- Rimuovi software sospetti: Controlla l’elenco dei programmi installati sul sistema e rimuovi qualsiasi software sospetto o non riconosciuto.
- Rivolgiti a un tecnico: Se non sei sicuro di come procedere, rivolgiti a un tecnico qualificato per assistenza.
Technical Deep Dive
Per gli utenti tecnici, è importante comprendere in dettaglio come funziona questo malware e come mitigarne gli effetti.
Il malware VBS sfrutta le caratteristiche di scripting di Windows per eseguire codice arbitrario sul sistema. Quando il file allegato viene aperto, il codice VBS viene interpretato dal motore di scripting di Windows, che esegue le istruzioni contenute nello script. Queste istruzioni possono includere l’installazione di software di gestione remota, la modifica delle impostazioni di sicurezza o l’esecuzione di comandi remoti.
Per mitigare questo tipo di attacco, gli amministratori di sistema possono:
- Disabilitare l’esecuzione di script: Configurare il sistema per disabilitare l’esecuzione di script VBScript o limitarla a contesti controllati.
- Usare politiche di gruppo: Implementare politiche di gruppo per limitare le autorizzazioni degli utenti e impedire l’installazione di software non autorizzato.
- Monitorare le attività di rete: Utilizzare soluzioni di monitoraggio della rete per rilevare attività sospette o connessioni non autorizzate.
- Isolare i dispositivi compromessi: Se un dispositivo è sospettato di essere compromesso, isolalo dalla rete per impedire la diffusione del malware.
- Eseguire analisi forensi: Condurre analisi forensi per comprendere l’entità del danno e identificare eventuali vulnerabilità da correggere.
Inoltre, è fondamentale mantenere aggiornati i sistemi di sicurezza e seguire le best practice per la sicurezza informatica, come la segmentazione della rete, l’uso di firewall e l’implementazione di controlli di accesso rigorosi.
In sintesi, la sicurezza informatica richiede un approccio proattivo e continuo. Mantenere il sistema aggiornato, usare strumenti di sicurezza affidabili e adottare buone pratiche di sicurezza sono passi essenziali per proteggere i dispositivi e i dati da minacce come il malware VBS su WhatsApp.
