Rejtett fájlok és elmaszkolt programok
A támadás egy Visual Basic Script (VBS-fájl) futtatásával kezdődik, amelyet vagy ellopott WhatsApp-profilból, vagy sürgősséget sugalló üzenettel küldenek át. Ha az áldozat megnyitja a veszélyes mellékletet, az rögtön rejtett mappákat hoz létre a C:ProgramData mappában, és oda elhelyezi néhány gyakori Windows-segédprogram átnevezett verzióját – például a curl.exe nevű program netapi.dll-ként, a bitsadmin.exe pedig sc.exe-ként jelenik meg. Érdemes kiemelni, hogy ezek a fájlok az eredeti nevüket is tartalmazzák, így a Microsoft Defender és más védelmi rendszerek is könnyebben észlelhetik ezeket a trükköket.
A támadási lánc és a célzott támadások
Ez alatt azt kell érteni, hogy az átnevezett segédprogramokat a háttérben futó további rosszindulatú szkriptek (például auxs.vbs, 2009.vbs) letöltésére használják – mégpedig jól ismert szolgáltatóktól, mint az AWS, a Tencent Cloud vagy a Backblaze B2. Ez megnehezíti annak felismerését, hogy gyanús tevékenységről van szó. Később a kártevő megpróbálja módosítani a Felhasználói fiókok felügyelete (UAC) beállításait is, hogy automatikusan rendszergazdai jogokat szerezzen, és újraindítás után is aktív maradjon.
Távoli hozzáférés és védekezés
A támadók végül ismeretlen forrásból származó, nem aláírt telepítőfájlokkal (például Setup.msi, AnyDesk.msi) telepítik a valódi programok hamisított változatait. Ezekkel teljes távoli hozzáférést szereznek a fertőzött rendszerhez, szabadon lophatnak adatokat, telepíthetnek további kártevőket, vagy újabb támadásokat indíthatnak más rendszerek ellen.
Érdemes kiemelni, hogy a megelőzés egyik legfontosabb eszköze a dolgozók rendszeres oktatása – így felismerhetik a gyanús WhatsApp-csatolmányokat vagy váratlan üzeneteket, és nem válnak a támadók újabb áldozataivá.
