Kaspersky sonne l’alerte après la découverte d’une nouvelle campagne propageant des logiciels malveillants via WhatsApp. Actuellement en cours, elle cible les utilisateurs de WhatsApp Desktop et de WhatsApp Web. L’attaque s’appuie sur des messages directs pour distribuer des fichiers VBScript malveillants.
Du classique pour tromper la confiance des utilisateurs
Les attaquants utilisent des comptes WhatsApp compromis pour envoyer des messages aux contacts de la victime.
Ces messages ne contiennent aucun texte, seulement une pièce jointe malveillante, ce qui peut laisser penser à un simple partage de fichiers. Les noms des fichiers sont conçus pour paraître légitimes, notamment des factures, des relevés de compte ou des avis de paiement.
Pour maximiser leur portée, les cybercriminels ont localisé les noms de fichiers en plusieurs langues, dont le français, l’allemand et le portugais.
La chaîne d’infection lorsque le fichier est ouvert
L’infection se déroule en plusieurs étapes une fois que l’utilisateur exécute le fichier VBScript.
Le script est lancé par le Windows Script Host (WScript.exe), un composant de Windows. Ce premier script a pour mission de créer un répertoire de travail et de télécharger deux autres scripts depuis une infrastructure contrôlée par les attaquants.
Le premier de ces nouveaux scripts tente de modifier les paramètres du contrôle de compte d’utilisateur (UAC) de Windows afin de désactiver les futures alertes de sécurité. Pendant ce temps, le second télécharge une archive ZIP contenant le véritable cheval de Troie.
Légitime en soi, ManageEngine Endpoint Central est un outil installé silencieusement et configuré pour donner aux attaquants un accès complet à l’ordinateur.
Qui est derrière cette attaque et qui sont les victimes ?
Si la campagne a une portée internationale, la Malaisie est de loin le pays le plus touché, concentrant 80 % des infections détectées. La campagne semble opportuniste et ne vise pas un secteur en particulier.
L’attribution de l’attaque reste incertaine, Kaspersky n’ayant pas pu l’associer à un groupe connu. Néanmoins, plusieurs indices, comme des commentaires en chinois simplifié dans le code et des chevauchements d’infrastructure avec des serveurs liés aux malwares ValleyRAT et Gh0st RAT, suggèrent une possible origine chinoise.
Les experts de Kaspersky recommandent la plus grande prudence face aux pièces jointes, même si elles paraissent provenir de contacts fiables. En particulier, ne pas ouvrir les types de fichiers exécutables et de scripts tels que .vbs, .vbe, .exe, .bat, .cmd, .js et .ps1.