Một chiến dịch malware mới và đang hoạt động đang lây lan qua WhatsApp, nhắm mục tiêu vào người dùng Windows thông thường trên hơn một chục quốc gia.
Mối đe dọa này sử dụng các tệp script độc hại được ngụy trang dưới dạng các tài liệu tài chính thông thường, lừa người dùng chạy mã nguy hiểm trên máy của họ.
Khi tệp được mở, nó sẽ âm thầm kích hoạt một chuỗi các sự kiện, dẫn đến việc kẻ tấn công giành quyền truy cập từ xa hoàn toàn vào hệ thống của nạn nhân.
Chiến dịch Tấn công qua WhatsApp
Chiến dịch này được quan sát lần đầu vào tháng 6 năm 2026 và vẫn đang hoạt động. Các nạn nhân đã được xác định ở Malaysia, Brazil, Ấn Độ, Mexico, Singapore, Vương quốc Anh, Tây Ban Nha, Đài Loan, Úc, Nga và Việt Nam.
Malaysia là quốc gia bị ảnh hưởng nặng nề nhất, chiếm khoảng 80% tổng số ca nhiễm được ghi nhận.
Nguồn Gốc và Cơ Chế Lây Lan
Các nhà nghiên cứu tại Securelist đã phân tích chi tiết chiến dịch này. Theo báo cáo của Securelist, kẻ tấn công đã truy cập vào các tài khoản WhatsApp hợp pháp và sử dụng chúng để âm thầm gửi các tệp đính kèm độc hại đến tất cả danh bạ của tài khoản bị xâm nhập.
Vì tin nhắn xuất phát từ các liên hệ quen thuộc, người nhận có khả năng cao mở chúng mà không nghi ngờ.
Các tệp đính kèm là tệp VBScript, một loại script mà Windows có thể chạy tự động thông qua công cụ tích hợp sẵn là Windows Script Host.
Các tệp này có tên như “Financial Reports.vbs”, “Debt Statement.vbs”, “Account Statement.vbs”, cùng các phiên bản viết bằng tiếng Bồ Đào Nha, Pháp, Đức và Malay.
Cách tiếp cận đa ngôn ngữ này cho thấy chiến dịch được thiết kế để tiếp cận nạn nhân ở nhiều khu vực cùng lúc.
Khai thác Công cụ Quản lý Từ xa (RMM)
Điều khiến cuộc tấn công này nổi bật là việc sử dụng phần mềm hợp pháp làm tải trọng cuối cùng. Thay vì triển khai virus truyền thống hoặc công cụ đánh cắp dữ liệu, kẻ tấn công cài đặt một công cụ quản lý từ xa (RMM) chính hãng trên máy của nạn nhân.
Điều này cho phép kẻ tấn công kiểm soát hệ thống bị lây nhiễm giống như cách một đội ngũ IT doanh nghiệp thực hiện, khiến việc phát hiện trở nên khó khăn hơn nhiều.
Quy Trình Lây Nhiễm và Từng Bước Thực Hiện
Quá trình lây nhiễm bắt đầu ngay khi người dùng mở tệp đính kèm VBScript trong WhatsApp Desktop hoặc thông qua trình duyệt sử dụng WhatsApp Web.
Script chạy ngầm thông qua Windows Script Host và ngay lập tức bắt đầu chuẩn bị hệ thống cho việc xâm nhập sâu hơn.
Nó tạo một thư mục ẩn dưới thư mục Public Documents, sử dụng các tên ngẫu nhiên như “MSUpdate_random” để tránh thu hút sự chú ý.
Vô Hiệu Hóa User Account Control (UAC)
Từ thư mục đó, script đầu tiên tải xuống hai tệp script bổ sung từ các máy chủ do kẻ tấn công kiểm soát. Tệp đầu tiên trong số này cố gắng sửa đổi cài đặt bảo mật của Windows được gọi là User Account Control (UAC), thông thường sẽ cảnh báo người dùng trước khi bất kỳ thay đổi lớn nào đối với hệ thống được thực hiện.
Bằng cách đặt mức bảo vệ này thành 0, kẻ tấn công đã loại bỏ rào cản để script thứ hai cài đặt phần mềm mà không có bất kỳ lời nhắc nào xuất hiện trên màn hình.
Cài đặt Tải trọng Cuối cùng
Script thứ hai tải về một kho lưu trữ ZIP chứa một gói cài đặt hoàn chỉnh cho một tác nhân quản lý từ xa (RMM agent).
Sau khi giải nén và thực thi, gói này tự cài đặt một cách âm thầm bằng Windows Installer và kết nối trở lại các máy chủ do kẻ tấn công kiểm soát. Tại thời điểm đó, kẻ tấn công có quyền truy cập từ xa dai dẳng và âm thầm vào mọi thứ trên máy của nạn nhân.
Phân tích Mã Nguồn và Dấu hiệu
Các nhà nghiên cứu bảo mật đã ghi nhận một số chi tiết trong các tệp script chỉ ra một nhà phát triển nói tiếng Trung.
Nhiều biến thể của VBScript chứa các nhận xét và chú thích được viết bằng ký tự tiếng Trung giản thể, bao gồm các tham chiếu đến các mô-đun Windows Update và kiểm tra tính toàn vẹn của hệ thống. Các nhận xét này xuất hiện nhất quán trên các phiên bản khác nhau của script.
Khả năng Liên kết với Hoạt động Tấn công Trước đó
Sự trùng lặp về cơ sở hạ tầng cũng làm dấy lên nghi ngờ. Một trong các địa chỉ máy chủ do kẻ tấn công kiểm soát trước đây đã xuất hiện liên quan đến các họ malware được gọi là ValleyRAT và Gh0st RAT.
Mặc dù điều này không xác nhận một liên kết chắc chắn, các nhà nghiên cứu đánh giá với độ tin cậy thấp rằng chiến dịch này có thể do một kẻ tấn công nói tiếng Trung thực hiện.
Chỉ số Khai thác (Indicators of Compromise – IoCs)
Các chỉ số về sự xâm nhập (IoCs) có thể bao gồm các địa chỉ IP và tên miền của máy chủ chỉ huy và kiểm soát (C2) do kẻ tấn công kiểm soát, cũng như tên tệp và hash của các tệp script độc hại.
- Tệp đính kèm độc hại: Các tệp VBScript (ví dụ: “Financial Reports.vbs”, “Debt Statement.vbs”, “Account Statement.vbs”).
- Thư mục ẩn: Thư mục được tạo trong Public Documents với tên ngẫu nhiên (ví dụ: “MSUpdate_random”).
- Các máy chủ C2: (Cần được trích xuất từ phân tích sâu hơn).
Các Biện pháp Phòng ngừa và Khuyến nghị
Người dùng được khuyến cáo mạnh mẽ không mở bất kỳ tệp đính kèm nào nhận được qua WhatsApp, ngay cả từ các liên hệ đã biết, trừ khi tệp đã được xác minh qua một kênh khác.
Các loại tệp như VBS, VBE, EXE, BAT, CMD, JS và PS1 không bao giờ nên được mở mà không có sự xác nhận độc lập.
Việc giữ nguyên cài đặt bảo mật của Windows và chạy phần mềm bảo vệ điểm cuối hiện tại có thể giảm đáng kể rủi ro trở thành nạn nhân của các chiến dịch như thế này. Việc cập nhật bản vá kịp thời cho hệ điều hành và các ứng dụng là cực kỳ quan trọng.
