Kampania malware WhatsApp z VBS i backdoorami MSI

Wprowadzenie

Microsoft opublikował szczegóły zaawansowanej kampanii malware, która zaczyna się od plików VBS dostarczanych przez WhatsApp, a kończy trwałym zdalnym dostępem poprzez złośliwe instalatory MSI. Dla zespołów IT i bezpieczeństwa ma to znaczenie, ponieważ atakujący nadużywają legalnych narzędzi Windows i zaufanych platform chmurowych, przez co trudniej odróżnić tę aktywność od normalnego ruchu firmowego.

Co nowego w tej kampanii

Microsoft Defender Experts zaobserwował początek kampanii pod koniec lutego 2026 r. Łańcuch ataku obejmuje wiele etapów zaprojektowanych tak, aby unikać wykrycia i utrzymać długoterminowy dostęp:

• Początkowy dostęp przez WhatsApp: Atakujący wysyłają złośliwe pliki .vbs w wiadomościach WhatsApp, wykorzystując zaufanie użytkowników do znanych aplikacji komunikacyjnych.
• Użycie narzędzi Windows pod zmienionymi nazwami: Skrypty kopiują legalne narzędzia, takie jak curl.exe i bitsadmin.exe, a następnie zmieniają ich nazwy na mylące, np. netapi.dll i sc.exe.
• Dostarczanie ładunków z zaufanych usług chmurowych: Dodatkowe ładunki są pobierane z usług takich jak AWS S3, Tencent Cloud i Backblaze B2.
• Podniesienie uprawnień i utrzymanie dostępu: Malware manipuluje ustawieniami rejestru związanymi z UAC i wielokrotnie próbuje uruchamiać polecenia z podwyższonymi uprawnieniami.
• Backdoory MSI w końcowym etapie: Niepodpisane pliki MSI, takie jak Setup.msi, WinRAR.msi, LinkPoint.msi i AnyDesk.msi, są używane do ustanowienia zdalnego dostępu.

Dlaczego to istotne

Ta kampania łączy kilka trendów, które obrońcy obserwują coraz częściej:

• Techniki living-off-the-land z użyciem natywnych binariów Windows
• Dostarczanie malware z chmury wtapiające się w legalny ruch
• Socjotechnika przez konsumenckie platformy komunikacyjne
• Utrzymanie dostępu przez instalatory MSI, które w zarządzanych środowiskach mogą wyglądać rutynowo

Istotną możliwością wykrycia jest rozbieżność między rzeczywistą nazwą pliku a osadzonymi w nim metadanymi PE OriginalFileName. Narzędzia bezpieczeństwa, które analizują te metadane, mogą skuteczniej oznaczać binaria o zmienionych nazwach.

Wpływ na administratorów IT

Zespoły bezpieczeństwa i endpointów powinny założyć, że samo blokowanie według typu pliku nie wystarcza. Kampania może omijać pobieżną kontrolę dzięki użyciu ukrytych folderów, zaufanych źródeł pobierania i legalnych narzędzi administracyjnych.

Organizacje korzystające z Microsoft Defender powinny zwrócić szczególną uwagę na:

• Aktywność hostów skryptów z niezaufanych ścieżek (wscript, cscript, mshta)
• Zmiany w rejestrze powiązane z zachowaniem UAC
• Uruchamianie niepodpisanych MSI
• Połączenia sieciowe do obiektowej pamięci chmurowej używanej do etapowego dostarczania ładunków
• Wykrycia na endpointach powiązane z binariami o zmienionych nazwach i podejrzanymi flagami wiersza polecenia

Zalecane kolejne kroki

• Ogranicz wykonywanie skryptów w niezaufanych lokalizacjach tam, gdzie to możliwe.
• Włącz ochronę dostarczaną z chmury w Microsoft Defender Antivirus.
• Uruchom Defender for Endpoint EDR w trybie blokowania, aby zatrzymywać artefakty pominięte przez inne mechanizmy ochrony.
• Monitoruj ruch do chmury pod kątem podejrzanych pobrań z AWS, Tencent Cloud i Backblaze B2.
• Szkol użytkowników, aby nie otwierali nieoczekiwanych załączników WhatsApp, nawet jeśli pochodzą od pozornie zaufanych kontaktów.

Ta kampania przypomina, że zaufane aplikacje, legalne narzędzia i popularne usługi chmurowe również mogą zostać wykorzystane jako broń. Obrońcy powinni łączyć telemetrię endpointów, inspekcję ruchu chmurowego i świadomość użytkowników, aby ograniczyć ekspozycję.