Σύνοψη
- Η Microsoft εντόπισε νέα οργανωμένη εκστρατεία διανομής malware που χρησιμοποιεί μηνύματα WhatsApp.
- Οι επιτιθέμενοι στέλνουν αρχεία Visual Basic Script (VBS) τα οποία ενεργοποιούν μια αλυσίδα μόλυνσης πολλαπλών σταδίων στα Windows.
- Χρησιμοποιούνται νόμιμες υπηρεσίες cloud (AWS, Tencent Cloud, Backblaze B2) για την αθόρυβη ανάκτηση των τελικών payload.
- Η διαδικασία ολοκληρώνεται με την εγκατάσταση μη υπογεγραμμένων αρχείων MSI (π.χ., WinRAR.msi, AnyDesk.msi) για πλήρη απομακρυσμένο έλεγχο των συστημάτων.
- Στην Ελλάδα, η αυξημένη χρήση του WhatsApp Web για εταιρική επικοινωνία καθιστά τις τοπικές επιχειρήσεις ιδιαίτερα ευάλωτες στη συγκεκριμένη τεχνική παράκαμψης των antivirus.
Τι ακριβώς περιλαμβάνει η νέα επίθεση μέσω WhatsApp;
Η νέα εκστρατεία κυβερνοεπίθεσης αξιοποιεί μηνύματα WhatsApp για τη διανομή κακόβουλων αρχείων VBS. Όταν εκτελεστούν, τα scripts μετονομάζουν νόμιμα εργαλεία των Windows (όπως το curl.exe), κατεβάζουν payloads από cloud υπηρεσίες (AWS, Backblaze) και εγκαθιστούν μη υπογεγραμμένα αρχεία MSI, εξασφαλίζοντας επίμονη, μη ανιχνεύσιμη απομακρυσμένη πρόσβαση (backdoor) στα μολυσμένα συστήματα.
Η αλυσίδα μόλυνσης: Από το μήνυμα στον πλήρη έλεγχο
Η ερευνητική ομάδα της Microsoft εντόπισε και ανέλυσε την επίθεση, η οποία ξεκίνησε στα τέλη Φεβρουαρίου 2026. Οι επιτιθέμενοι δεν βασίζονται σε περίπλοκα zero-day exploits, αλλά στην κοινωνική μηχανική. Αποστέλλουν μηνύματα μέσω WhatsApp τα οποία περιέχουν φαινομενικά αθώα συνημμένα. Μόλις ο χρήστης κατεβάσει και ανοίξει το επισυναπτόμενο αρχείο Visual Basic Script (VBS), εκκινείται σιωπηλά το πρώτο στάδιο της μόλυνσης.
Το VBS δημιουργεί κρυφούς φακέλους στη διαδρομή C:\ProgramData. Στη συνέχεια, εφαρμόζει την τακτική "Living off the Land" (LotL), χρησιμοποιώντας προεγκατεστημένα, νόμιμα εργαλεία των Windows, αλλά με παραπλανητικά ονόματα. Για παράδειγμα, το curl.exe μετονομάζεται σε netapi.dll και το bitsadmin.exe μετατρέπεται σε sc.exe. Αυτή η διαδικασία επιτρέπει στο κακόβουλο λογισμικό να δράσει κάτω από το ραντάρ των τυπικών προγραμμάτων προστασίας ιών, καθώς οι διεργασίες φαίνονται ως συνηθισμένη δραστηριότητα του λειτουργικού συστήματος.
Εμβαθύνοντας στον κώδικα των επιθέσεων, η συγκεκριμένη τακτική καθίσταται εξαιρετικά επικίνδυνη. Όταν ο χρήστης ανοίξει το VBS αρχείο μέσω του WhatsApp Web ή της desktop εφαρμογής, δεν εμφανίζεται κανένα γραφικό περιβάλλον, ούτε κάποιο προειδοποιητικό παράθυρο εγκατάστασης. Η μόνη ένδειξη δραστηριότητας είναι μια στιγμιαία, ανεπαίσθητη αύξηση της χρήσης του επεξεργαστή στη Διαχείριση Εργασιών (Task Manager). Η απουσία εμφανών προβλημάτων (δηλαδή δεν παγώνει η οθόνη, δεν αργεί το ποντίκι, δεν υπάρχει εμφανές ίχνος μόλυνσης) είναι ο βασικός λόγος που οι χρήστες δεν αντιλαμβάνονται την παραβίαση τη στιγμή που συμβαίνει.
Παράκαμψη μέτρων ασφαλείας με χρήση γνωστών υπηρεσιών Cloud
Στο δεύτερο στάδιο, το μολυσμένο σύστημα πρέπει να κατεβάσει το κύριο φορτίο. Αντί να χρησιμοποιήσουν δικούς τους διακομιστές Command and Control (C2), οι οποίοι συχνά εντοπίζονται και μπλοκάρονται από τα εταιρικά firewalls, οι επιτιθέμενοι φιλοξενούν τα αρχεία τους σε εδραιωμένες πλατφόρμες όπως το Amazon Web Services (AWS), το Tencent Cloud και το Backblaze B2.
Εφόσον οι περισσότερες εταιρείες διατηρούν αυτές τις διευθύνσεις στη whitelist των δικτύων τους λόγω της καθημερινής χρήσης νόμιμων cloud υπηρεσιών, το κατέβασμα των αρχείων δεν προκαλεί ειδοποιήσεις ασφαλείας στα συστήματα ανίχνευσης εισβολών (IDS).
Εγκατάσταση MSI Backdoors
Το τελικό χτύπημα πραγματοποιείται με τη μορφή αρχείων Microsoft Installer (MSI). Τα αρχεία αυτά μεταμφιέζονται σε γνωστά προγράμματα (όπως Setup.msi, WinRAR.msi, LinkPoint.msi και AnyDesk.msi), χωρίς όμως να φέρουν ψηφιακή υπογραφή. Η επιλογή των MSI δεν είναι τυχαία. Στα εταιρικά δίκτυα Windows, η αυτοματοποιημένη εγκατάσταση πακέτων MSI είναι ρουτίνα.
Τα γνήσια εκτελέσιμα της WinRAR ή της AnyDesk φέρουν ψηφιακά πιστοποιητικά που επιβεβαιώνουν τη γνησιότητά τους. Τα μολυσμένα αρχεία που κατεβάζει το VBScript δεν διαθέτουν τέτοιες υπογραφές. Εάν οι πολιτικές της εταιρείας δεν επιβάλλουν την επαλήθευση της ψηφιακής υπογραφής πριν την εγκατάσταση, το λειτουργικό σύστημα προχωρά αθόρυβα στην εγκατάσταση του backdoor.
Μόλις εγκατασταθεί, το κακόβουλο λογισμικό δημιουργεί προγραμματισμένες εργασίες και τροποποιεί το Registry των Windows για να εξασφαλίσει ότι το backdoor θα φορτώνεται αυτόματα σε κάθε επανεκκίνηση. Αυτό παρέχει στους επιτιθέμενους αδιάλειπτη πρόσβαση στο μηχάνημα του θύματος, επιτρέποντάς τους να υποκλέψουν δεδομένα, να παρακολουθήσουν πληκτρολογήσεις ή να προετοιμάσουν το έδαφος για εγκατάσταση ransomware.
Ο αντίκτυπος για τους χρήστες και τις επιχειρήσεις στην Ελλάδα
Η ελληνική αγορά επηρεάζεται άμεσα από αυτές τις πρακτικές. Το WhatsApp χρησιμοποιείται πλέον ευρέως από εγχώριες επιχειρήσεις για γρήγορη επικοινωνία μεταξύ ομάδων, πελατών και προμηθευτών, ιδίως στον τομέα του τουρισμού, των logistics και των ναυτιλιακών εταιρειών.
Η αποδοχή ενός αρχείου από έναν φαινομενικά γνωστό αποστολέα αποτελεί καθημερινή ενέργεια. Στον υπολογιστή ενός μέσου Έλληνα εργαζομένου, η λήψη ενός αρχείου μέσω του WhatsApp Desktop και το άνοιγμά του διαρκεί ελάχιστα δευτερόλεπτα. Το πρόβλημα εντείνεται από το γεγονός ότι πολλές μικρομεσαίες επιχειρήσεις στην Ελλάδα δεν διαθέτουν προηγμένα συστήματα Endpoint Detection and Response (EDR) ικανά να εντοπίσουν ύποπτες συμπεριφορές, όπως η χρήση του bitsadmin.exe για κατέβασμα αρχείων από το AWS.
Με τη ματιά του Techgear
Η ανάλυση αυτού του συμβάντος αναδεικνύει μια σαφή μετατόπιση στις τακτικές των κυβερνοεγκληματιών. Η παράκαμψη των παραδοσιακών εργαλείων ασφαλείας δεν απαιτεί πλέον πανάκριβα zero-day exploits. Απαιτεί απλώς την εκμετάλλευση της εμπιστοσύνης. Ένα μήνυμα στο WhatsApp έχει στατιστικά πολύ υψηλότερο ποσοστό αλληλεπίδρασης σε σχέση με ένα κλασικό phishing email.
Όταν αυτός ο παράγοντας συνδυαστεί με αρχεία MSI που "κρύβονται σε κοινή θέα" και τη χρήση Cloud υποδομών τεχνολογικών κολοσσών, κατανοούμε ότι οι επιθέσεις γίνονται πιο έξυπνες, εξαιρετικά στοχευμένες και απολύτως αθόρυβες. Συστήνουμε αυστηρά στους διαχειριστές ΙΤ των ελληνικών επιχειρήσεων να εφαρμόσουν κανόνες Application Control που θα αποτρέπουν ρητά την εκτέλεση μη υπογεγραμμένων αρχείων MSI, ανεξάρτητα από την πηγή προέλευσής τους. Παράλληλα, η αυστηροποίηση των πολιτικών εκτέλεσης VBScripts σε περιβάλλοντα Windows παραμένει ένα κρίσιμο, άμεσο βήμα θωράκισης.
