Microsoft waarschuwt voor verspreiding van malware via WhatsApp

Microsoft waarschuwt voor een malwarecampagne waarbij via WhatsApp-berichten kwaadaardige software wordt verspreid en systemen worden gecompromitteerd.

Microsoft heeft een campagne waargenomen waarbij aanvallers VBS-bestanden (Visual Basic Script) via WhatsApp versturen. Wanneer slachtoffers deze uitvoeren, wordt een meerstaps infectieketen in gang gezet die uiteindelijk leidt tot externe toegang voor de aanvallers en permanente verankering in het systeem. Vooral gebruikers van de WhatsApp-desktopversie onder Windows lopen risico, omdat de schadelijke scripts daar zonder omwegen kunnen worden uitgevoerd.

In een blogpost waarschuwt het Microsoft Defender Security-team voor deze campagne, die eind februari begon. De aanvallers maken gebruik van social engineering en zogeheten “living-off-the-land”-technieken (ook bekend als “LOLbins”), waarbij bestaande, door het besturingssysteem meegeleverde uitvoerbare bestanden worden misbruikt. De uiteindelijk geïnstalleerde malware in MSI-formaat (Microsoft Installer) wordt vanuit de cloud aangeleverd.

Concrete voorbeelden van de berichten geven de IT-forensische onderzoekers niet, maar ze leggen uit dat de schadelijke VBS-bestanden als WhatsApp-berichten bij slachtoffers terechtkomen en zo misbruik maken van het vertrouwen in het platform. Bij uitvoering maakt het script verborgen mappen aan onder “C:\ProgramData” en slaat daar hernoemde versies van legitieme Windows-tools op, zoals “curl.exe” (hernoemd naar “netapi.dll”) en “bitsadmin.exe” (hernoemd naar “sc.exe”).

In de volgende stap gebruikt de malware deze hernoemde binaries om aanvullende dropper-bestanden te downloaden, zoals “auxs.vbs” en “WinUpdate_KB5034231.vbs”, vaak afkomstig van als betrouwbaar beschouwde cloudopslagdiensten zoals AWS S3, Tencent Cloud of Backblaze B2. Volgens Microsoft verhult dit de kwaadaardige activiteit als legitiem netwerkverkeer.

Na het downloaden wijzigt de malware instellingen van Gebruikersaccountbeheer (UAC) door prompts uit te schakelen, waardoor de verdedigingsmechanismen van Windows worden verzwakt. Vervolgens start het herhaaldelijk de opdrachtprompt (“cmd.exe”) met verhoogde rechten totdat privilege-escalatie slaagt of het proces wordt afgebroken. Door aanpassingen in het register onder “HKLM\Software\Microsoft\Win” zorgt de malware voor persistentie, zodat deze ook na herstarts actief blijft.

In de laatste fase worden niet-ondertekende MSI-installers gedownload met namen als Setup.msi, WinRAR.msi, LinkPoint.msi en AnyDesk.msi. Deze bevatten remote access-software zoals AnyDesk, waarmee aanvallers langdurige externe toegang krijgen. Daarmee kunnen zij gegevens exfiltreren, extra malware installeren of de gecompromitteerde systemen inzetten als onderdeel van een groter botnet. In bedrijfsomgevingen vallen dergelijke MSI-installers minder op, omdat ze daar gangbaar zijn voor softwaredistributie.

In de analyse geeft Microsoft aanbevelingen om netwerken tegen dergelijke aanvallen te beschermen. Daaronder vallen het blokkeren van scripting-hosts op endpoints, het monitoren van cloudverkeer en het vergroten van de bewustwording onder medewerkers.

Gebruikers van populaire messengers, met name prominente personen of hooggeplaatste ambtenaren en politici, zijn de laatste tijd vaker doelwit van dergelijke aanvallen. Zo probeerden cybercriminelen eind vorig jaar met geavanceerde social-engineeringtechnieken toegang te krijgen tot messenger-apps van potentiële slachtoffers om hen te bespioneren. Vooral bij berichten van onbekenden is daarom extra waakzaamheid geboden.

De campagne onderstreept hoe effectief de combinatie van social engineering en legitieme systeemtools kan zijn voor aanvallers. Vooral in omgevingen waar standaardbeheermechanismen worden vertrouwd, is aanvullende monitoring en beperking van scriptuitvoering essentieel.