WhatsApp kampanja sa VBScript malverom instalira RMM softvere na računare žrtava

Šta se desilo?

U junu 2026. godine otkrivena je aktivna kampanja koja distribuira zlonamerne VBScript datoteke preko WhatsApp poruka. Napadači koriste prevarene nazive datoteka koji oponašaju finansijske dokumente kako bi ubedili korisnike da preuzmu i izvršavaju priložene fajlove. Izvršavanje VBScript-a pokreće višestepeni napadni lanac koji završava instalacijom legitimnog Remote Monitoring and Management (RMM) softvera, omogućavajući napadačima daljinski pristup zahvaćenim računarima.

Koga pogađa?

Kampanja pogađa korisnike WhatsApp Desktop i WhatsApp Web aplikacija u više od deset država i teritorija. Najveći broj žrtava zabeležen je u Maleziji, dok su pojedinačne slučajeve potvrđeni u Brazilu, Indiji, Meksiku, Singapuru, Ujedinjenom kraljevstvu, Španiji, Tajvanu, Australiji, Rusiji i Vijetnamu. Napadači su pristupili legitimnim WhatsApp nalozima korisnika i iz njih šalju zlonamerne datoteke svim kontaktima na njihovoj listi.

Kako se zaštititi?

• Budite oprezni pri preuzimanji datoteka iz WhatsApp poruka, posebno od poznatih kontakata koji nisu eksplicitno najavili slanje datoteka
• Nikada ne otvarajte VBS, VBE ili druge skriptne datoteke iz nepoznatih ili neuobičajenih izvora
• Prezimite datoteke sa nazivima koji se čine kao finansijski dokumenti (izvodi, dospele rate, obavijesti o dugovima) sa skepticizmom
• Proverite autentičnost poruke kontaktom sa pošiljaocem preko drugog kanala komunikacije ako ste nesigurni
• Ažurirajte Windows i sve aplikacije na najnovije verzije sa dostupnim zakrpama sigurnosti
• Koristite antivirusni softver i održavajte ga regularno ažuriranim
• Razmislite o isključivanju izvršavanja skriptnih datoteka ako nije neophodno za rad
• Monitorujte neobično mrežno aktivnosti i pristupe iz vašeg računara

Tehnički detalji

Početna faza napada koristi Windows Script Host (WScript.exe) za pokretanje VBScript datoteka. Skriptovi kreiraju radni direktorijum sa randomizovanim nazivima kao što su "Temp_random" ili "MSUpdate_random" u direktorijumu C:\Users\Public\Documents\ i preuzimaju dodatne VBScript komponente sa udaljene infrastrukture. Datoteke se često prikrivaju primenom skrivenog i sistemskog atributa kako bi bili manje vidljivi korisnicima. Primećeni su VBScript varijantu sa zavaravajućim komentarima na kineskom jeziku koji oponašaju Windows Update komponente, što upućuje da su skriptovi dizajnirani da izgleda legitimno. Raznovrsnost jezika u nazivima datoteka (portugalski, francuski, nemački, malajski i drugi) sugeriše ciljanu distribuciju prema određenim geografskim područjima.

Preporuka Sajber Radara

Edukujte se i svoje bližnje o rizicima otvaranja neočekivanih datoteka preko WhatsApp-a i sličnih platformi za instant poruke. Kampanja je aktivna i kontinuirano se odvija - održavajte vigilantnost pri čuvanju pristupa svojim računarima i pažljivo procenjujte bilo koju datoteku koju preuzimate iz komunikacijskih aplikacija.