WhatsApp compare sempre più spesso come veicolo per attacchi informatici sofisticati. In questo caso, un attacco di phishing sfrutta i messaggi di WhatsApp per indurre gli utenti a eseguire un file VBScript che, una volta aperto, installa un tool di accesso remoto sul computer Windows. Se ricevi un file eseguibile o uno script da WhatsApp, anche se proviene da un contatto conosciuto, non aprirlo mai senza verificarne l’origine e il contenuto. Questo tipo di attacco permette ai criminali di collegarsi al tuo pc in modo remoto e rubare dati sensibili, come documenti, password e informazioni finanziarie. La prima linea di difesa è la prudenza: ignorare file sospetti, non aprire script VBScript o eseguibili da messaggi WhatsApp e mantenere aggiornate le protezioni antivirus e il sistema operativo.
Cosa sta accadendo con questo attacco su WhatsApp
Un’importante campagna di malware sta sfruttando WhatsApp per diffondersi in diverse parti del mondo. I bersagli principali sembrano essere utenti in paesi come Malesia, Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia e Vietnam. L’attacco è ancora attivo e in fase di evoluzione, quindi è fondamentale che gli utenti siano consapevoli del rischio e adottino subito misure di protezione.
Gli esperti di cybersecurity hanno identificato uno schema ricorrente: i criminali prendono il controllo di account WhatsApp compromessi e inviano lo stesso messaggio a tutti i contatti presenti nella rubrica. Il contenuto del messaggio è costruito in modo da sembrare legittimo, spesso riferendosi a documenti importanti come fatture, report finanziari o conferme di pagamento. In realtà, il messaggio contiene un allegato VBScript che, se aperto, scatena una catena di azioni malevole sul computer della vittima.
Come funziona l’attacco di phishing su WhatsApp
Il cuore del problema è il file VBScript allegato al messaggio. VBScript è un linguaggio di scripting di Windows e, quando eseguito, può interagire direttamente con il sistema operativo. I cybercriminali usano nomi di file che sembrano innocui, come “fattura.vbs”, “report_finanziario.vbs” o “conferma_pagamento.vbs”, per indurre l’utente a pensarli come documenti comuni. Tuttavia, non si tratta di PDF o file di testo, ma di script che possono installare software aggiuntivo sul pc.
Quando l’utente apre il file VBScript da WhatsApp Desktop o dalla versione Web su Windows, lo script viene eseguito e avvia una serie di azioni. In primo luogo, scarica altri due file VBScript sul computer. Il primo script è progettato per disattivare la protezione UAC (User Account Control), una funzionalità di sicurezza di Windows che chiede conferma all’utente prima di consentire modifiche di sistema. Modificando una chiave del registro di Windows, lo script indebolisce questa protezione, rendendo più facile l’installazione di software senza avvisi.
Il secondo script scarica un archivio ZIP che contiene un software legittimo di accesso remoto, in questo caso ManageEngine Endpoint Central. Si tratta di uno strumento autentico utilizzato da molte aziende per gestire e controllare i dispositivi remotamente, ma in questo contesto viene sfruttato dai criminali per accedere al pc della vittima. Lo script estrae i file dall’archivio e installa il software in background, senza che l’utente se ne accorga. Una volta installato, il tool di accesso remoto si connette a un server controllato dai cybercriminali, consentendo loro di visualizzare lo schermo della vittima, gestire i file, aprire applicazioni e persino eseguire comandi.
Cos’è l’accesso remoto e quali rischi comporta
L’accesso remoto è una funzionalità che permette di controllare un computer da un’altra posizione, spesso utilizzata dai tecnici IT per risolvere problemi o gestire reti. In questo attacco, però, l’accesso remoto viene utilizzato in modo malintenzionato. I criminali possono usare il tool installato per rubare dati sensibili, come documenti aziendali, credenziali di accesso, informazioni bancarie e dati personali. Ma il rischio non si ferma qui: possono anche installare altri malware, come ransomware che cripta i file per chiedere un riscatto, o software spia per monitorare le attività dell’utente.
Un’altra conseguenza è che il pc può diventare parte di una botnet, una rete di dispositivi infetti controllati da remoto. Questo può essere usato per lanciare attacchi DDoS (Denial of Service) contro altri siti web o per diffondere ulteriori malware. La vittima potrebbe non accorgersi subito di essere compromessa, poiché il software di accesso remoto può funzionare in modo silenzioso, senza generare avvisi evidenti.
Come riconoscere i messaggi di phishing su WhatsApp
Riconoscere un messaggio di phishing può fare la differenza tra sicurezza e compromissione del sistema. In questo caso, alcuni segnali dovrebbero mettere in allarme l’utente. In primo luogo, la presenza di un file allegato eseguibile o script, come VBScript, è sempre sospetta, soprattutto se non è stato richiesto. WhatsApp è pensato principalmente per messaggi di testo, immagini e documenti comuni, non per script o file di installazione.
Un altro segnale è il contesto del messaggio. Se un contatto invia un file con un nome generico come “fattura” o “report” senza alcuna spiegazione, è meglio non aprirlo. Inoltre, se il messaggio contiene errori di ortografia, grammatica o formattazione strana, potrebbe essere un tentativo di phishing. I criminali spesso non parlano perfettamente la lingua del destinatario e i messaggi possono apparire poco professionali.
Un’altra red flag è la pressione psicologica. I messaggi di phishing possono creare urgenza, dicendo che il file è importante o che deve essere aperto subito per evitare conseguenze negative. In questi casi, è meglio ignorare il messaggio e verificare l’origine del file contattando il mittente tramite un altro canale, come una chiamata o un messaggio diverso.
Consigli pratici per proteggersi dall’attacco
La protezione contro questo tipo di attacco richiede una combinazione di buone pratiche e strumenti di sicurezza. In primo luogo, mai aprire file eseguibili o script ricevuti da WhatsApp, anche se sembrano provenire da contatti fidati. È facile che un account WhatsApp sia stato compromesso, quindi è meglio non fidarsi ciecamente dei contenuti allegati.
In secondo luogo, mantenere aggiornato Windows e tutti i software installati. Gli aggiornamenti di sicurezza spesso correggono vulnerabilità che i criminali potrebbero sfruttare. Inoltre, è consigliabile usare un antivirus aggiornato che possa rilevare e bloccare file VBScript sospetti o malware.
Un’altra misura importante è abilitare l’autenticazione a due fattori su WhatsApp, per rendere più difficile il furto dell’account. Inoltre, è utile verificare sempre l’origine dei file prima di aprirli, chiedendo conferma al mittente tramite un altro canale. Se possibile, evitare di usare WhatsApp Desktop o la versione Web per aprire file, preferendo l’app mobile o altri metodi sicuri.
Infine, è consigliabile fare backup regolari dei dati importanti su un dispositivo esterno o un servizio cloud sicuro. In caso di infezione, i backup possono permettere di ripristinare i file senza pagare riscatti o perdere informazioni.
Technical Deep Dive: analisi dettagliata dell’attacco
Per gli utenti tecnici, è utile comprendere nel dettaglio come funziona l’attacco. Il file VBScript allegato al messaggio di WhatsApp è progettato per eseguire diverse fasi di download e installazione. La prima fase consiste nello scaricare altri due script VBScript sul sistema. Questi script possono essere obfuscati per rendere più difficile l’analisi statica, utilizzando codifica o rotazione di caratteri.
Il primo script si occupa di disattivare UAC modificando la chiave del registro di Windows. UAC è una funzionalità di sicurezza che richiede l’autorizzazione dell’utente prima di consentire modifiche di sistema. Modificando la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA, lo script può ridurre il livello di protezione, consentendo l’installazione di software senza avvisi.
Il secondo script scarica un archivio ZIP contenente ManageEngine Endpoint Central. Questo software è legittimo, ma viene configurato per connettersi a un server controllato dai criminali. L’archivio ZIP può essere protetto da password o criptato per evitare l’analisi da parte di antivirus. Una volta estratti i file, lo script avvia il processo di installazione in background, creando servizi o task di Windows per garantire che il software si avvii automaticamente al riavvio.
Il file di configurazione incluso nel pacchetto contiene le informazioni necessarie per la connessione al server dei criminali, come l’indirizzo IP o il dominio. Una volta stabilita la connessione, il server può inviare comandi al tool di accesso remoto, consentendo ai criminali di eseguire azioni arbitrarie sul sistema compromesso.
Gli esperti non hanno identificato con certezza gli autori dell’attacco, ma gli indirizzi IP dell’infrastruttura utilizzata sono associati a altri gruppi di malware come ValleyRAT e Gh0st RAT. Questi gruppi sono noti per usare tool di accesso remoto per attacchi persistenti e campagne mirate. Per gli analisti, è importante monitorare questi indirizzi IP e blocarli a livello di rete per prevenire ulteriori infezioni.
In sintesi, questo attacco sfrutta la fiducia degli utenti in WhatsApp e la potenza di scripting di Windows per installare un tool di accesso remoto. La protezione richiede vigilanza, aggiornamenti di sicurezza e l’uso di strumenti di difesa adeguati.
Fonte: https://www.punto-informatico.it/whatsapp-accesso-remoto-attacco-phishing/
