Пријави инцидент
Пријави инцидент

WhatsApp VBScript кампања користи лажни документи за инсталирање на ManageEngine RMM алатка

Објавено: 23.06.2026

Директни пораки испратени преку WhatsApp се користат за дистрибуција на злонамерни Visual Basic Script (VBScript) датотеки кои доведуваат до инсталација на легитимен софтвер за далечинско следење и управување (Remote Monitoring and Management – RMM).

Според наодите на Kaspersky, активната кампања ги таргетира корисниците на WhatsApp Desktop и WhatsApp Web во Малезија, Бразил, Индија, Мексико, Сингапур, Обединетото Кралство, Шпанија, Тајван, Австралија, Русија и Виетнам. Најголема концентрација на жртви е забележана во Malaysia.

„Напаѓачот користи измамнички имиња на датотеки кои се претставуваат како деловни и финансиски документи за да ги убеди примателите да ја преземат и извршат прикачената датотека“, изјави безбедносниот истражувач Fareed Radzi. „Откако ќе се изврши, VBScript-от започнува повеќестепен синџир на инфекција кој на крај резултира со инсталација на легитимен RMM софтвер, овозможувајќи далечински пристап до системот на жртвата.“

Се сомнева дека напаѓачите успеале тајно да добијат пристап до повеќе WhatsApp сметки, а потоа ги искористиле за ширење на VBScript датотеките до нивните контакти. Сепак, засега не е познато како точно биле компромитирани овие сметки.

Силно замаглените (obfuscated) VBScript датотеки се претставуваат како безопасни деловни и финансиски документи, користејќи имиња како:

  • Financial Reports.vbs
  • Account Statement.vbs

Некои од датотеките се именувани и на други јазици, вклучувајќи португалски, француски, германски и малајски, што ја одразува глобалната природа на кампањата.

„Покрај тоа, VBScript примероците содржат обемни коментари и метаподатоци наменети да имитираат легитимни компоненти на Microsoft Windows Update“, објаснува Kaspersky. „Многу од овие коментари се напишани на кинески јазик и содржат референци кон Windows Update модули, валидација на сертификати, проверки на интегритетот на системот и функционалности поврзани со распоредување (deployment).“

VBScript датотеката се извршува преку WScript.exe, по што презема и стартува дополнителни VBScript компоненти потребни за следните фази од нападот.

Вреди да се напомене дека синџирот на инфекција се однесува малку поинаку во зависност од тоа дали жртвата користи WhatsApp Web или десктоп апликацијата WhatsApp Desktop.

Во случајот со WhatsApp Web, нападот се потпира на тоа корисникот да ја преземе датотеката на својот систем и потоа да ја отвори од папката за преземања или преку историјата на преземања во прелистувачот, верувајќи дека станува збор за легитимен документ.

Кај WhatsApp Desktop, малициозниот софтвер се извршува директно во рамките на апликацијата. Анализата на процесите покажува дека WhatsApp.Root.exe, позадинскиот процес поврзан со клиентската апликација, е одговорен за стартување на WScript.exe.

Главната цел на VBScript датотеката е да преземе два секундарни VBScript payload-и од оддалечен сервер:

  • Едниот се обидува да го измени однесувањето на Windows User Account Control (UAC).
  • Другиот презема и извршува ZIP датотека која го содржи инсталацискиот пакет за ManageEngine RMM Central.

Засега не е утврдено кој стои зад оваа активност. Сепак, руската компанија за сајбер-безбедност Kaspersky открила преклопувања во инфраструктурата (IP адресата 202.61.160[.]201) со претходни активности поврзани со малициозните програми Gh0st RAT и ValleyRAT.

„Корисниците треба да бидат внимателни кога добиваат неочекувани прилози преку WhatsApp, дури и ако изгледа дека доаѓаат од познати контакти“, предупредува Kaspersky. „Типови на датотеки како VBS, VBE, EXE, BAT, CMD, JS и PS1 не треба да се отвораат освен ако нивната легитимност не е независно потврдена.“

Препораки за заштита

  • Не отворајте неочекувани прилози, дури и ако се испратени од познати контакти.
  • Проверете преку друг канал (телефонски повик, порака) дали испраќачот навистина ја испратил датотеката.
  • Не извршувајте скрипти (.vbs, .js, .ps1) или извршни датотеки (.exe) без претходна проверка.
  • Одржувајте ги оперативниот систем и антивирусниот софтвер ажурирани.
  • Овозможете дополнителни безбедносни механизми како двофакторска автентикација (2FA) за вашите сметки.

Извори:

  • The Hacker News – WhatsApp VBScript Campaign Uses Fake Documents to Install ManageEngine RMM Tool The Hacker News