Une campagne de phishing via WhatsApp installe un outil de contrôle à distance sur les PC Windows

Une campagne malveillante ciblant les utilisateurs de WhatsApp a été mise au jour par des chercheurs en cybersécurité. Celle-ci exploite des comptes compromis de l'application de messagerie pour diffuser des fichiers piégés, conduisant à l'installation d'un outil de contrôle à distance (RMM) sur les postes Windows des victimes.

Des fichiers imitant des documents professionnels

Les attaquants ont pris le contrôle de plusieurs comptes WhatsApp afin d'envoyer des messages aux contacts des propriétaires. Ces messages, dépourvus de tout texte, contiennent uniquement une pièce jointe. Les noms de fichiers sont conçus pour ressembler à des documents financiers courants : relevés bancaires, confirmations de dette ou listes de paiements. Les pièces jointes existent en plusieurs langues, dont le portugais, le français, l'allemand et le malais, ce qui suggère une cible internationale.

Un processus d'infection en plusieurs étapes

Lorsque l'utilisateur ouvre la pièce jointe via WhatsApp Desktop, un script VBScript (VBS) est exécuté. Ce script déclenche une chaîne d'infection complexe : il télécharge et exécute deux autres scripts VBScript à l'insu de la victime. Au bout du processus, un outil d'administration à distance légitime, mais détourné, est installé sur la machine. Il s'agit de l'outil ManageEngine RMM, qui permet aux opérateurs de la campagne d'exécuter des commandes à distance, d'espionner les activités ou de dérober des données.

Une campagne concentrée en Malaisie et attribuée à un opérateur sinophone

Les analyses montrent que la campagne est active et a déjà touché des utilisateurs dans onze pays. La Malaisie concentre à elle seule environ 80 % des victimes. Le Brésil, l'Inde, le Mexique, Singapour, le Royaume-Uni, l'Espagne, Taïwan, l'Australie, la Russie et le Vietnam complètent la liste des zones impactées. Les chercheurs qui ont découvert l'opération notent que certains scripts contiennent des commentaires en chinois simplifié et des références à Windows Update. Ces éléments les conduisent à attribuer provisoirement l'attaque à un opérateur sinophone, sans pouvoir identifier formellement un groupe spécifique.

Des mesures de protection essentielles

Face à cette menace, les experts recommandent aux utilisateurs de WhatsApp de redoubler de prudence face aux pièces jointes inattendues, même lorsqu'elles proviennent de contacts connus. Il est conseillé d'éviter d'ouvrir des fichiers au format VBS, JS ou tout autre script, et de maintenir les systèmes d'exploitation et les logiciels de sécurité à jour. Les entreprises sont invitées à sensibiliser leurs employés à ces techniques d'ingénierie sociale et à configurer des politiques de blocage des exécutables téléchargés depuis des messageries.