WhatsApp-phishingangreb bruger falske forretningsdokumenter til at narre brugere til at installere ConnectWise RAT-malware på Windows-pc’er

Et WhatsApp-phishingangreb rammer virksomheder gennem falske dokumentanmodninger, der fører til malwareinfektioner. Forskere oplyser, at angriberne udgiver sig for at være forretningskontakter og sender beskeder, som ser ud til at indeholde legitime filer.

I stedet for fakturaer eller kontrakter installerer kampagnen ConnectWise RAT, et fjernadgangsværktøj, der giver angribere kontrol over inficerede systemer. Angrebet viser, hvordan cyberkriminelle i stigende grad flytter phishingaktiviteter væk fra e-mail og over på betroede beskedplatforme.

Angribere udgiver sig for at være forretningskontakter

WhatsApp-phishingangrebet starter med en besked, der ser ud til at komme fra en legitim forretningskontakt. Ofrene modtager anmodninger om fakturaer, indkøbsordrer, tilbud eller andre almindelige forretningsdokumenter.

Beskederne fremstår ofte professionelle og relevante for modtagerens daglige arbejde. Derfor opbygger angriberne tillid, før de opfordrer målet til at downloade en fil.

Forskerne fandt, at kampagnen primært bygger på social manipulation og ikke på softwaresårbarheder. Angriberne overtaler i stedet ofrene til selv at åbne de skadelige filer.

Falske dokumenter fører til installation af malware

Angriberne bruger fildelingslinks, der ser ud til at indeholde forretningsdokumenter. Når offeret åbner indholdet, modtager personen filer, der starter infektionsprocessen.

Kampagnen installerer i sidste ende ConnectWise RAT på det kompromitterede system. ConnectWise bruges normalt til legitime administrative formål, men trusselsaktører misbruger ofte fjernadgangsværktøjer, fordi de falder naturligt ind i almindelig netværkstrafik.

Efter installationen kan angriberne fjernstyre den inficerede enhed og udføre yderligere handlinger.

Fjernadgang skaber betydelige risici

WhatsApp-phishingangrebet giver angriberne mere end blot adgang til filer. En vellykket infektion kan give langvarig kontrol over den berørte computer.

Trusselsaktører kan stjæle følsomme dokumenter, indsamle loginoplysninger, overvåge brugeraktivitet eller installere yderligere malware. I nogle tilfælde fungerer fjernadgangsværktøjer som første trin i større angreb, der senere udvikler sig til datatyveri eller ransomware.

Fordi malwaren anvender en legitim platform til fjernadministration, kan sikkerhedsteams få sværere ved at identificere mistænkelig aktivitet.

Beskedplatforme bliver en voksende angrebsvej

Cyberkriminelle bruger i stigende grad beskedapps til at sprede skadeligt indhold. Mange medarbejdere har større tillid til beskeder modtaget via WhatsApp end til traditionelle phishing-mails.

Angriberne udnytter denne tillid ved at forklæde malware som almindelige forretningsdokumenter. Samtidig tager flere organisationer beskedplatforme i brug til dagligt samarbejde, hvilket giver trusselsaktører flere muligheder for at nå potentielle ofre.

Forskerne forventer, at lignende kampagner fortsat vil målrette virksomheder gennem beskedtjenester.

Organisationer bør verificere dokumentanmodninger

Sikkerhedseksperter anbefaler, at brugere verificerer uventede dokumentanmodninger, før de downloader filer eller åbner links. Medarbejdere bør bekræfte sådanne forespørgsler gennem en separat kommunikationskanal, når det er muligt.

Organisationer bør også uddanne medarbejdere om phishingangreb, der kommer via beskedapplikationer. Sikkerhedsbevidsthed og træning er fortsat blandt de mest effektive forsvar mod social manipulation.

Derudover kan overvågning af fjernadgangssoftware og begrænsning af unødvendige installationer reducere risikoen yderligere.

Konklusion

WhatsApp-phishingangrebet viser, hvordan angribere tilpasser velkendte metoder til social manipulation til moderne kommunikationsplatforme. Ved at skjule malware bag almindelige forretningsdokumenter øger de sandsynligheden for, at ofrene selv installerer den skadelige software.

I takt med at phishing via beskedplatforme fortsætter med at vokse, bør organisationer behandle uventede filanmodninger på WhatsApp med samme forsigtighed som mistænkelige e-mails.


0 svar til “WhatsApp-phishingangreb bruger falske dokumenter til at sprede RAT-malware”