Kaspersky met en garde : les utilisateurs de WhatsApp Desktop et WhatsApp Web sont visés par une campagne de logiciels malveillants

Une campagne de logiciels malveillants en cours semble viser les utilisateurs de WhatsApp dans plusieurs pays. La société de cybersécurité Kaspersky a découvert qu'un acteur malveillant utilise des comptes WhatsApp pour diffuser des pièces jointes infectées. Ce problème touche des utilisateurs de différents pays, la Malaisie enregistrant le plus grand nombre de victimes. Selon les chercheurs de Kaspersky, les attaquants se servent de comptes WhatsApp préalablement compromis pour envoyer des pièces jointes malveillantes semblant provenir de contacts connus. Les noms de fichiers sont conçus pour ressembler à des documents professionnels.

Kaspersky met en garde contre une campagne de diffusion de logiciels malveillants via WhatsApp
L'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky a découvert une campagne de diffusion de logiciels malveillants ciblant les utilisateurs de WhatsApp Desktop et WhatsApp Web. Les attaquants visent les utilisateurs au moyen de pièces jointes malveillantes envoyées par messagerie directe. Kaspersky indique que cette campagne utilise des comptes WhatsApp compromis pour diffuser des fichiers VBScript malveillants.

Le rapport inclut des captures d'écran de messages WhatsApp contenant le fichier VBScript malveillant. Elles montrent que les attaquants ont donné aux fichiers malveillants des noms évoquant des documents professionnels ; les fichiers identifiés portent ainsi des intitulés tels que « factures », « relevés bancaires », « relevés de compte » et « avis de créance ».

« Une fois ouverts, ils déclenchent une chaîne d'infection par étapes qui récupère et exécute silencieusement des composants malveillants supplémentaires depuis une infrastructure externe », a déclaré Fareed Radzi, chercheur en sécurité chez Kaspersky GReAT.

Les chercheurs de Kaspersky notent que les noms de fichiers sont rédigés en anglais ainsi que dans d'autres langues, notamment le portugais, le français, l'allemand et le malais. Les échantillons de scripts VBScript contiendraient également des commentaires détaillés et des métadonnées conçus pour imiter les composants légitimes de Microsoft Windows Update. L'entreprise de cybersécurité indique que des victimes ont été identifiées dans plusieurs pays, dont la Malaisie, le Brésil, Singapour, Taïwan et le Vietnam. C'est en Malaisie que l'on observe le plus grand nombre d'infections. L'opération semble cibler des utilisateurs en Europe ainsi que dans d'autres régions.

Lorsqu'un utilisateur ouvre le fichier infecté, une séquence de scripts est déclenchée sur l'appareil. Le script initial crée un répertoire de travail dans « C:\Users\Public\Documents\ », puis récupère des fichiers de script supplémentaires depuis une infrastructure externe et les exécute à l'aide de Windows Script Host. Le logiciel malveillant permet un accès à distance au système en exploitant des fonctionnalités d'administration standard, normalement destinées à la gestion et au support informatique légitimes.

Kaspersky conseille aux utilisateurs de faire preuve de prudence lorsqu'ils reçoivent des pièces jointes inattendues via WhatsApp, même si elles proviennent de contacts connus. Il convient d'être vigilant lors de l'ouverture de fichiers de type script ou exécutable (tels que .vbs, .vbe, .exe, .bat, .cmd, .js et .ps1), à moins que leur légitimité n'ait été vérifiée de manière indépendante. Kaspersky recommande également d'utiliser une solution de sécurité robuste sur tous les ordinateurs et appareils mobiles.