Kommentare zu folgendem Beitrag: Malware per WhatsApp. Der Rest läuft auf Windows
Malware per WhatsApp, die als VBS-Datei auf Windows-Systeme gelangt. Danach folgen Cloud-Downloads, Persistenz- und MSI-Pakete wie AnyDesk.
Kommentare zu folgendem Beitrag: Malware per WhatsApp. Der Rest läuft auf Windows
VBS-Script-Code? Damit hat man in den 1990er Jahren bei Win95 und 97 unter dem Internet-Explorer oder Netscape die Windows-Registrierung lahmlegen können, es funktionierte mit ActiveX und die Registrierung konnte zerschossen werden. Damit haben wir als Anfänger unseren Spaß gehabt. Und VBS wurde doch durch PowerShell ersetzt und ist unter Windows 11 24H2 nur noch optional!
Na das ist schon etwas sehr Spezielles…zu einer Infektion muss Whatsapp über den PC verwendet werden.
Produktive Systeme alias Firmen PCs haben solche Sachen aber oft gesperrt.
Selbst Whatsapp Web funktioniert da oftmals nicht.
Auch ist das Ausführen „Fremder“ Programme dort oft gesperrt.
Also zielt das ganze mehr auf private Rechner ab.
Sicher hat das alles nichts mit Whatsapp zu tun, eine VBS kann man sich überall her Herunterladen.
Die Chance, dass sich jemand so etwas irgendwo aus den weiten des WWWs herunterlädt sind vermutlich größer.
Klicke hier für Gratis Prn ohne Alterverifizierung
Auch der Begriff Malware ist nicht klar Definiert…eigentlich Entscheidet jeder für sich selbst, was Malware ist und was nicht.
Wenn ich mir eine Batch schreibe, die mir im Windows alle Temp Dateien und unnötigen Windows Krempel löscht, ist das dann Malware?
Kommt halt immer darauf an. Und da hier in dem fall sowieso viele Windows eigene Tools verwendet werden, würde kein Virenscanner diese als Malware Identifizieren.
Schwieriges Thema!
Cloud-Speicher-URLs: Payload-Hosting:
hxxps[:]//bafauac.s3.ap-southeast-1.amazonaws[.]com URL Amazon S3 Bucket
hxxps[:]//yifubafu.s3.ap-southeast-1.amazonaws[.]com URL Amazon S3 Bucket
hxxps[:]//9ding.s3.ap-southeast-1.amazonaws[.]com URL Amazon S3 Bucket
hxxps[:]//f005.backblazeb2.com/file/bsbbmks URL Backblaze B2 Cloud-Speicher
hxxps[:]sinjiabo-1398259625[.]cos.ap-singapore.myqcloud.com URL Tencent Cloud-Speicher
Führungs- und Kontrollinfrastruktur (C2):
Neescil[.]top Domain Kommando- und Kontrollbereich
velthora[.]top Domain Kommando- und Kontrollbereich
Mechanismus zur Abholung des Payload in der Stufe:
Registry-Manipulation durch 1. Payload zum Umgehen der UAC:
Initial Stage: VBS Scripts delivered via WhatsApp:
Indicator Type Description
a773bf0d400986f9bcd001c84f2e1a0b614c14d9088f3ba23ddc0c75539dc9e0 SHA-256 Initial VBS Script from WhatsApp
22b82421363026940a565d4ffbb7ce4e7798cdc5f53dda9d3229eb8ef3e0289a SHA-256 Initial VBS Script from WhatsApp
Alles, was erst danach kommt, ist die eigentliche Infizierung des Client! Ausführung diverser MSIs etc. pp.
1 Like