Centrant ses attaques sur les utilisateurs de WhatsApp Desktop et WhatsApp Web, cette campagne de cybercriminalité distribue des fichiers malveillants au format VBScript via des messages directs sur la plateforme. Des victimes ont été identifiées dans plusieurs pays et territoires, notamment en Malaisie, au Brésil, à Singapour, à Taïwan et au Vietnam, le plus grand nombre de victimes observées se situant en Malaisie. L'utilisation de plusieurs langues dans le nom des fichiers indique également un ciblage régional large, en particulier à travers l'Europe.
La campagne a été révélée en juin 2026 par l'équipe mondiale de recherche et d'analyse de Kaspersky (GReAT - Global Research and Analysis Team). Selon leurs recherches, l'acteur cybercriminel utilise des comptes WhatsApp préalablement compromis pour distribuer des pièces jointes malveillantes. Les messages sont envoyés depuis les contacts existants de ces comptes, ce qui augmente la probabilité que les destinataires ouvrent les fichiers. Une fois installé, le logiciel malveillant permet un accès à distance au système par le biais de fonctionnalités administratives standard, initialement destinées au support informatique et à la gestion légitime.
Le volet d'ingénierie sociale repose sur des noms de fichiers conçus pour ressembler à des documents professionnels courants. Les exemples observés comprennent des factures, des relevés bancaires, des relevés de compte, des justificatifs de paiement et des avis de débit. Les noms de fichiers sont également traduits dans plusieurs langues, dont l'anglais, le portugais, le français, l'allemand et le malais, ce qui indique une distribution dans différentes régions linguistiques. De plus, les échantillons de VBScript contiennent de nombreux commentaires et métadonnées destinés à imiter des composants légitimes de Microsoft Windows Update.
« Dans cette campagne, les attaquants exploitent la confiance au sein des plateformes de messagerie en utilisant des comptes WhatsApp compromis pour envoyer des pièces jointes malveillantes qui semblent provenir de contacts connus, rendant les destinataires beaucoup plus enclins à interagir avec elles. Les noms de fichiers sont soigneusement dissimulés sous la forme de documents professionnels de routine, tels que des factures et des avis de paiement, et sont traduits dans plusieurs langues pour soutenir un ciblage large. Une fois ouverts, ils déclenchent une chaîne d'infection par étapes qui récupère et exécute silencieusement des composants malveillants supplémentaires à partir d'une infrastructure externe », explique Fareed Radzi, chercheur en sécurité chez Kaspersky GReAT.
Le flux d'exécution de la pièce jointe suit un processus en plusieurs étapes sur le système affecté. Une fois ouvert, le fichier déclenche une séquence de scripts sur l'appareil. Le script initial crée un répertoire de travail sous C:\Users\Public\Documents\, puis récupère des fichiers de script supplémentaires à partir d'une infrastructure externe et les exécute à l'aide de Windows Script Host. Ces scripts de suivi effectuent d'autres actions système et téléchargent une archive compressée à partir de la même infrastructure. L'archive contient un package d'installation pour un logiciel de surveillance et de gestion à distance.
Le rapport complet est disponible sur Securelist.com.
Les experts de Kaspersky GReAT recommandent aux utilisateurs de :
- Faire preuve de prudence lors de la réception de pièces jointes inattendues via WhatsApp, même lorsqu'elles semblent provenir de contacts connus, car elles peuvent être en mesure d'exécuter des logiciels malveillants.
- Ne pas ouvrir les types de fichiers exécutables et de scripts tels que .vbs, .vbe, .exe, .bat, .cmd, .js et .ps1, à moins que leur légitimité n'ait été vérifiée de manière indépendante.
- Utiliser une solution de sécurité robuste sur tous les ordinateurs et appareils mobiles. Elle vous alertera et empêchera toute infection.
À propos de la Global Research & Analysis Team (GReAT)
Établie en 2008, la Global Research & Analysis Team (GReAT) opère au cœur même de Kaspersky, révélant les menaces persistantes avancées (APT), les campagnes de cyber-espionnage, les logiciels malveillants majeurs, les ransomwares et les tendances cybercriminelles souterraines à travers le monde. Aujourd'hui, le GReAT est composé de plus de 35 experts travaillant à l'échelle mondiale : en Europe, en Russie, en Amérique latine, en Asie et au Moyen-Orient. Ces professionnels de la sécurité talentueux assurent le leadership de l'entreprise en matière de recherche et d'innovation contre les logiciels malveillants, apportant une expertise, une passion et une curiosité inégalées à la découverte et à l'analyse des cybermenaces.
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. Pionnière dans le secteur grâce à son approche de « Cyber Immunité », Kaspersky protège les particuliers, les entreprises, les infrastructures critiques et les gouvernements contre les cybermenaces, avec plus d'un milliard d'appareils protégés à ce jour.
Kaspersky garantit une cybersécurité adaptée aux besoins des entreprises, en mettant l'accent sur l'obtention de résultats concrets, la protection du chiffre d'affaires, l'allègement de la charge de travail et la prévention des interruptions de service. Les connaissances approfondies de Kaspersky en matière de menaces et son expertise en sécurité se traduisent constamment par des solutions et des services innovants destinés aux organisations de toutes tailles, des petites entreprises aux grandes sociétés, combinant des technologies de protection éprouvées basées sur l'IA avec une gestion simple et un support expert.
Reconnue par des tests indépendants et bénéficiant de la confiance de millions de particuliers à travers le monde et de près de 200 000 organisations, Kaspersky aide à détecter les menaces plus tôt, à réagir plus rapidement et à opérer avec davantage de confiance et de liberté, en protégeant ce qui compte le plus pour nos clients. Pour en savoir plus, rendez-vous sur www.kaspersky.fr