Un nuovo attacco di phishing su WhatsApp sta colpendo utenti in diversi Paesi, utilizzando messaggi che sembrano contenere documenti aziendali o finanziari. Se apri questi allegati, il tuo PC può venire infettato e il cybercriminale può prendere il controllo del sistema da remoto. La soluzione più rapida e sicura è: non aprire mai allegati sospetti ricevuti tramite WhatsApp, soprattutto se provengono da contatti improvvisamente inattivi o se il messaggio è generico. Verifica sempre con il mittente tramite un altro canale e scansiona ogni file con un antivirus aggiornato prima di aprirlo.
Cos’è questo attacco su WhatsApp
Questa campagna di malware sfrutta WhatsApp per diffondere file VBScript malevoli, spacciati per documenti di lavoro, fatture, estratti conto o comunicazioni ufficiali. I messaggi arrivano da account WhatsApp già compromessi, quindi sembrano provenire da contatti reali e fidati. Una volta che l’utente scarica ed esegue il file, il computer viene infettato e il cybercriminale ottiene un accesso remoto, in grado di visualizzare lo schermo, controllare il mouse e la tastiera e rubare dati sensibili.
L’attacco è particolarmente pericoloso perché sfrutta la fiducia tra contatti personali e professionali. Inoltre, il malware utilizza software legittimo come ManageEngine Endpoint Central, una soluzione di gestione remota per sistemi Windows, che viene installata e configurata per connettersi a server controllati dagli aggressori. Questo rende l’attività malevola più difficile da individuare, perché il programma è reale e utilizzato da molte aziende per la gestione IT.
Come funziona l’attacco
I ricercatori di sicurezza hanno osservato che l’attacco inizia con messaggi WhatsApp inviati da account compromessi. I messaggi contengono un solo allegato, un file VBScript pesantemente offuscato, con nomi che simulano documenti aziendali o finanziari, come fatture, estratti conto, report o avvisi di account. Questi nomi sono spesso localizzati in più lingue, indicando che la campagna è globale e mira a utenti in diversi Paesi.
Quando l’utente scarica ed esegue il file su un sistema Windows, il VBScript scarica due script aggiuntivi dall’infrastruttura dell’attaccante. Questi script modificano il registro di Windows per disabilitare la User Account Control (UAC), riducendo le protezioni del sistema e rendendo più facile l’installazione di software malevolo. Successivamente, viene scaricato un archivio ZIP contenente il software ManageEngine Endpoint Central, che viene installato in background e configurato per connettersi a server controllati dagli aggressori.
Una volta attivo, il software di gestione remota consente agli attaccanti di controllare il computer della vittima da remoto, come se fossero seduti davanti al PC. Possono eseguire comandi, copiare file, installare ulteriori malware e persino monitorare le attività dell’utente. La campagna è stata rilevata in diversi Paesi, tra cui Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia, Vietnam e Malesia, indicando un raggio d’azione molto ampio.
Perché è così efficace
L’attacco è efficace per diversi motivi. Prima di tutto, sfrutta la fiducia tra contatti WhatsApp, che spesso condividono documenti e file in contesti personali e professionali. In secondo luogo, il malware utilizza software legittimo, rendendo più difficile per i sistemi di sicurezza rilevarlo come minaccia. Inoltre, l’offuscamento del VBScript e la localizzazione dei nomi dei file rendono il messaggio più credibile e aumentano le probabilità che l’utente lo apra.
L’attacco è particolarmente pericoloso per le aziende, dove i dipendenti potrebbero ricevere allegati da colleghi o partner commerciali. Un solo clic su un file malevolo può compromettere l’intero sistema aziendale, consentendo agli attaccanti di accedere a dati sensibili, sistemi di rete e account utente. Inoltre, gli attaccanti potrebbero utilizzare il sistema infetto come punto di ingresso per diffondere il malware ad altri dispositivi nella rete.
Come proteggersi
La protezione principale contro questo tipo di attacco è la consapevolezza e la prudenza. Non aprire mai allegati sospetti ricevuti tramite WhatsApp, soprattutto se provengono da contatti improvvisamente inattivi o se il messaggio è generico. Verifica sempre con il mittente tramite un altro canale, come una chiamata o un messaggio su un’altra piattaforma, prima di aprire qualsiasi file. Inoltre, scansiona ogni file con un antivirus aggiornato prima di eseguirlo.
Per le aziende, è fondamentale implementare politiche di sicurezza rigorose, come la formazione del personale sui rischi del phishing, l’uso di soluzioni di sicurezza endpoint e la limitazione dei privilegi di amministratore sui sistemi. È anche consigliabile disabilitare l’esecuzione automatica di script VBScript su Windows, per ridurre il rischio di infezione da allegati malevoli.
Technical Deep Dive
Dal punto di vista tecnico, l’attacco si basa su un VBScript pesantemente offuscato, che nasconde il codice malevolo riducendo la leggibilità e complicando l’analisi statica. Quando il file viene eseguito, il VBScript scarica due script aggiuntivi dall’infrastruttura dell’attaccante, che modificano il registro di Windows per disabilitare la User Account Control (UAC). Queste modifiche riducono le protezioni del sistema e consentono l’installazione di software malevolo senza richiedere ulteriori conferme all’utente.
Successivamente, viene scaricato un archivio ZIP contenente il software ManageEngine Endpoint Central, che viene installato in background e configurato per connettersi a server controllati dagli aggressori. Il software di gestione remota consente agli attaccanti di controllare il computer della vittima da remoto, eseguendo comandi, copiando file e monitorando le attività dell’utente. La campagna è stata rilevata in diversi Paesi, indicando un raggio d’azione globale e un’infrastruttura ben organizzata.
Gli attaccanti potrebbero utilizzare il sistema infetto come punto di ingresso per diffondere il malware ad altri dispositivi nella rete, compromettendo l’intero ambiente aziendale. Per rilevare questo tipo di attacco, è fondamentale monitorare l’attività di rete e il comportamento dei sistemi, identificando attività anomale come connessioni a server sconosciuti, modifiche al registro di Windows o l’installazione di software non autorizzato. Inoltre, è consigliabile utilizzare soluzioni di sicurezza endpoint avanzate, in grado di rilevare e bloccare attività malevole in tempo reale.
