Kaspersky araştırmacıları, WhatsApp üzerinden yayılan ve sahte belgelerle VBScript dosyaları dağıtan bir kampanya tespit etti. Kampanya, kurbanların sistemine ManageEngine RMM aracı yükleyerek uzaktan erişim sağlıyor. Hedef ülkeler arasında Malezya, Brezilya, Hindistan, Meksika, Singapur, İngiltere, İspanya, Tayvan, Avustralya, Rusya ve Vietnam yer alıyor. En yüksek kurban yoğunluğu Malezya'da raporlandı.
Kampanyada, WhatsApp Desktop ve WhatsApp Web kullanıcıları hedef alınıyor. Tehdit aktörü, iş ve finans belgeleri gibi görünen dosya adları kullanarak kurbanları dosyayı indirip çalıştırmaya ikna ediyor. VBScript dosyaları, 'Financial Reports.vbs' veya 'Account Statement.vbs' gibi masum isimlerle gizleniyor. Bazı dosyalar Portekizce, Fransızca, Almanca ve Malayca gibi dillerde adlandırılarak kampanyanın küresel doğasını yansıtıyor.
VBScript dosyası WScript.exe ile çalıştırıldığında, uzak bir sunucudan iki ikincil VBScript yükü indiriyor. Bunlardan biri Windows Kullanıcı Hesabı Denetimi (UAC) davranışını değiştirmeye çalışırken, diğeri ManageEngine RMM Central kurulum paketini içeren bir ZIP dosyasını indirip çalıştırıyor. Enfeksiyon zinciri, kurbanın WhatsApp Web veya WhatsApp Desktop kullanmasına göre farklılık gösteriyor.
Kaspersky, kampanyanın Gh0st RAT ve ValleyRAT ile bağlantılı önceki faaliyetlerle altyapı örtüşmeleri tespit etti. Araştırmacılar, kullanıcıların WhatsApp üzerinden beklenmedik ekler alırken dikkatli olmaları gerektiğini vurguluyor. VBS, VBE, EXE, BAT, CMD, JS ve PS1 gibi betik ve yürütülebilir dosya türlerinin, bağımsız olarak doğrulanmadıkça açılmaması gerektiği belirtiliyor.