Egy aktív malware kampány során a támadók rosszindulatú VBScript fájlokat terjesztenek WhatsApp üzenetekben. Az elemzés idején a kampány még aktív, ami arra utal, hogy nem elszigetelt incidensről, hanem folyamatosan működő terjesztési műveletről van szó. A rosszindulatú mellékletek kompromittált WhatsApp fiókokból érkeznek, és több esetben kizárólag a fertőző csatolmányt tartalmazták, minden kísérőszöveg nélkül. A rendelkezésre álló adatok alapján a támadók több feltört fiókhoz is hozzáfértek, majd ezek névjegyzékét használták fel a további terjesztéshez, vagyis a kampány lényegében a meglévő bizalmi kapcsolatokra épít.
A támadók a fájlokat üzleti, pénzügyi vagy adminisztratív dokumentumoknak álcázzák, olyan elnevezésekkel, mint a Financial Reports.vbs, a Debt confirmation.vbs, az Account Statement.vbs vagy az Outstanding Payment List.vbs. A fájlnevek több nyelven is megjelennek, ami arra utal, hogy a kampány nem egyetlen piacra vagy nyelvi közegre céloz.
Az fertőzéshez két műveletre van szükség: a felhasználónak először le kellett töltenie a mellékletet, majd meg is kellett nyitnia azt. A kód létrehoz egy munkakönyvtárat, majd távoli infrastruktúráról letölt még két további VBScript komponenst. Az egyik a Windows User Account Control beállításait módosítja. A jelentés szerint ez azt a célt szolgálja, hogy az adminisztratív műveletek a továbbiakban ne kérjenek külön felhasználói jóváhagyást. A másik script egy ZIP archívum letöltéséért, kibontásáért és a következő lépcső elindításáért felelt. A ZIP-fájlt a Shell.Application COM interfésszel bontották ki, jellemzően úgy, hogy a felhasználói figyelmeztetéseket elnyomó opciókat alkalmaznak.
A fertőzési lánc harmadik szakasza különösen érdekes, mert itt a támadók nem egy hagyományos, saját fejlesztésű backdoort telepítenek, hanem egy legitim vállalati távmenedzsment megoldás csomagját. A ZIP archívum egy előre konfigurált ManageEngine Endpoint Central telepítési készletet tartalmaz, benne az MSI-telepítővel, konfigurációs fájlokkal, tanúsítványokkal és telepítő scriptekkel. A setup1.vbs csendes módban indítja el az msiexec.exe folyamatot, így a felhasználó nem látja a megszokott telepítési felületet. A támadó szempontjából ez kifejezetten előnyös megoldás, a célgépre egy ismert, legitim adminisztrációs komponens kerül fel, amely távoli hozzáférést tesz lehetővé, miközben jelenléte kevésbé tűnik kirívónak, mint egy klasszikus malware-é.
A jelentésben felsorolt szerverek között szerepelt több 202.61.160[.]x címtartományba eső IP, valamint a 38.55.151[.]63 cím is. A kutatók megjegyezték, hogy a 202.61.160[.]201 korábban ValleyRAT- és Gh0st RAT-aktivitással összefüggő infrastruktúraként is felbukkant, ugyanakkor ez önmagában még nem elegendő ahhoz, hogy a kampányt megbízhatóan egy ismert szereplőhöz lehessen kötni. Bár több VBScript-mintában is egyszerűsített kínai nyelvű kommentek, modulmegnevezések és végrehajtási megjegyzések szerepeltek, ez legfeljebb arra utalhat, hogy a scripteket kínai nyelvi háttérrel rendelkező operátor írta vagy tartotta karban. A ValleyRAT- és Gh0st RAT-infrastruktúrával mutatott átfedések szintén érdekesek, de ezek lehetnek egyszerű infrastruktúra-újrahasznosítás vagy közös hosting eredményei is. Ezért az értékelés végül csak alacsony megbízhatósággal valószínűsített kínai nyelvű operátort, és egyértelműen nem azonosított fenyegetési csoportot.
A telemetria alapján az esetek több országban jelentek meg, de nem mutattak arra utaló jelet, hogy a támadók egy-egy konkrét iparágat vagy szervezetet választottak volna célpontul.