Lemon8Lifestyle community

Automatically translated.View original post

FreedomHack 󱢏
FreedomHack 󱢏

3834 followers

Follow
Follow
Follow
Microsoft warns to beware of VBS-style malware from Whatsapp's images(0)
1/2

You may also like

No content
See more on the app
See more on the app
See more on the app
1 saved
1

Microsoft warns to beware of VBS-style malware from Whatsapp

Microsoft warned against VBS-style malware from Whatsapp that could break through UAC's protection systems, taking over the machine.

Whatsapp is a popular chat application on a global scale, which, of course, is used around the world, will cause a lot of victims for hackers to take on the case eventually.

According to a report by The Hacker News website, Microsoft has alerted users to VBS malware sent through the popular chat application Whatsapp. This malware was able to enter the UAC protection system during the upgrading of the malware's access to the system. This malware has been detected by the Microsoft research team in February.

For access to the victim's machine, hackers use a social engineering method in combination with the tools already available on the system (Living-off-the-Land) to release malware into the victim's machine. Although it is not clear how hackers deceive the victim, it is clear that the hacker will start by contacting the victim via WhatsApp and deceive the victim to download the VBS script file. After running the script, the script will create a Hidden Folder in a folder called "C: ProgramData" and paste the real Windows Utilities file. ) named "curl.exe" (which was renamed "netapi.dll") and "bitsadmin.exe" (which was renamed "sc.exe") into the aforementioned folder.

After that, the malware will start to create persistence on the system and download the second payload file in the MSI file format by pulling down the second VBS script from the trusted services that hackers have deposited, such as AWS S3, Tencent Cloud and Backblaze B2. After all the steps are done, the malware will start running the Privilege command through cmd.exe, running continuously until the UAC upgrade is successful. If not done, it will be forced to close and rework. After the success, the malware will modify the Windows Registry in the HKLMSoftwareMicrosoftWin section to ensure that the malware will be rebooted every time the system is rebooted. After everything is done, the malware will continue to act as an exfiltration.

# Trending # Lemon 8 Howtoo # lemon 8 diary # freedomhack # whatsapp

4/24 Edited to

... Read moreในยุคที่การติดต่อสื่อสารผ่านแอปพลิเคชันอย่าง WhatsApp กลายเป็นสิ่งจำเป็นในชีวิตประจำวัน ผู้ใช้งานควรตื่นตัวและระมัดระวังภัยคุกคามไซเบอร์ที่แฝงตัวมากับข้อความหรือไฟล์ที่ไม่คุ้นเคย โดยเฉพาะมัลแวร์แบบ VBS ที่ใช้เทคนิควิศวกรรมสังคม (Social Engineering) ชวนให้เรากดดาวน์โหลดไฟล์อันตรายโดยไม่รู้ตัว จากประสบการณ์ตรง การได้รับข้อความหรือไฟล์จากผู้ติดต่อที่เรารู้จักก็อาจไม่ปลอดภัยเสมอไป เพราะบัญชีของคนเหล่านั้นอาจถูกแฮกเกอร์แฝงตัวเข้าควบคุมแล้วและส่งต่อมัลแวร์อย่างเป็นทอดๆ ดังนั้นจึงควรตรวจสอบให้แน่ชัดก่อนดาวน์โหลดไฟล์ใดๆ โดยเฉพาะไฟล์สคริปต์ที่ไม่ค่อยใช้ในชีวิตประจำวัน มัลแวร์ตัวนี้เรียกได้ว่าเป็นภัยเงียบ เพราะใช้เครื่องมือของ Windows ที่มีอยู่แล้วในระบบ เช่น curl.exe และ bitsadmin.exe แต่เปลี่ยนชื่อ เพื่อหลีกเลี่ยงระบบตรวจจับ อีกทั้งยังสร้างโฟลเดอร์ล่องหนและแก้ไข Windows Registry เพื่อให้มัลแวร์รันซ้ำทุกครั้งที่บูตเครื่อง นั่นหมายความว่า แม้ว่าคุณจะรีสตาร์ตเครื่องล้างบางไปแล้ว มัลแวร์นี้ก็ยังมีโอกาสกลับมาได้อีกครั้ง เคล็ดลับสำคัญที่ช่วยลดความเสี่ยงคือ การตั้งค่าความปลอดภัยของ Windows UAC ให้เข้มงวด และหลีกเลี่ยงการกดไฟล์หรือคลิกลิงก์ที่ส่งมาจากแหล่งที่ไม่น่าเชื่อถือ นอกจากนี้ควรติดตั้งโปรแกรมแอนตี้มัลแวร์ที่อัพเดตล่าสุดและสแกนระบบเป็นประจำ ท้ายที่สุด ความรู้และความระมัดระวังของผู้ใช้งานเองเป็นด่านแรกในการป้องกันตนเองจากมัลแวร์รูปแบบใหม่ๆ โดยเฉพาะอย่างยิ่งในแพลตฟอร์มยอดนิยมอย่าง WhatsApp ที่มีผู้ใช้จำนวนมากและเป็นเป้าหมายของแฮกเกอร์เสมอ