Campagne de logiciels malveillants WhatsApp
Des cybercriminels utilisent la messagerie directe de WhatsApp pour diffuser des fichiers VBScript malveillants qui installent ensuite des logiciels légitimes de surveillance et de gestion à distance (RMM) sur les systèmes compromis. Cette campagne cible les utilisateurs de WhatsApp Desktop et WhatsApp Web dans de nombreux pays, dont la Malaisie, le Brésil, l'Inde, le Mexique, Singapour, le Royaume-Uni, l'Espagne, Taïwan, l'Australie, la Russie et le Vietnam. La Malaisie est le pays qui compte le plus grand nombre d'utilisateurs touchés.
Les chercheurs soupçonnent les attaquants d'avoir accédé sans autorisation à plusieurs comptes WhatsApp, puis d'avoir exploité ces profils compromis pour envoyer des fichiers malveillants aux personnes figurant dans leurs contacts. Cependant, la méthode exacte utilisée pour pirater ces comptes reste inconnue.
Table des matières
Déguisés en documents commerciaux
Les attaquants utilisent des techniques d'ingénierie sociale pour inciter leurs victimes à ouvrir les fichiers malveillants. Les pièces jointes VBScript sont dissimulées sous l'apparence de documents commerciaux et financiers légitimes et utilisent des noms de fichiers convaincants tels que « Rapports financiers.vbs » et « Relevé de compte.vbs ». Afin d'étendre la portée internationale de la campagne, certains fichiers sont également disponibles en portugais, en français, en allemand et en malais.
Les scripts sont fortement obscurcis et contiennent de nombreux commentaires et métadonnées conçus pour imiter les composants authentiques de Microsoft Windows Update. De nombreux commentaires sont rédigés en chinois et font référence à des fonctions telles que :
- Modules de mise à jour Windows
- procédures de validation des certificats
- Contrôles d'intégrité du système
- Processus liés au déploiement
Ces éléments sont destinés à donner une apparence légitime aux fichiers et à entraver l'analyse de sécurité.
Une chaîne d’infection à plusieurs étapes permet l’accès à distance
Une fois exécuté via « WScript.exe », le script VBScript malveillant initie un processus d'infection en plusieurs étapes en téléchargeant et en exécutant des composants VBScript supplémentaires. L'objectif principal du script initial est de récupérer deux charges utiles secondaires depuis un serveur distant. L'une de ces charges utiles tente de manipuler le comportement du Contrôle de compte d'utilisateur (UAC) de Windows, tandis que l'autre télécharge et exécute une archive ZIP contenant le package d'installation de ManageEngine RMM Central.
L'installation réussie du logiciel RMM légitime confère aux attaquants des capacités d'accès à distance, leur permettant de contrôler le système de la victime.
Différents chemins d’exécution sur WhatsApp Web et ordinateur
Le processus d'infection diffère selon la plateforme WhatsApp utilisée. Sur WhatsApp Web, les victimes doivent télécharger le fichier et l'ouvrir manuellement depuis le dossier Téléchargements ou l'historique du navigateur, en le prenant pour un document authentique.
À l'inverse, l'application WhatsApp Desktop permet au logiciel malveillant de s'exécuter directement dans l'environnement client. L'analyse des processus révèle que « WhatsApp.Root.exe », le processus d'arrière-plan de l'application, est responsable du lancement de « WScript.exe », qui initie ensuite la chaîne malveillante.
Liens possibles avec des opérations de logiciels malveillants antérieures
Bien que la campagne n'ait pas été formellement attribuée à un groupe de cybercriminels spécifique, les enquêteurs ont identifié des similitudes d'infrastructure avec des activités malveillantes antérieures associées aux familles de logiciels malveillants Gh0st RAT et ValleyRAT. Ces similitudes laissent penser que l'opération pourrait partager des ressources ou des tactiques avec des campagnes cybercriminelles antérieures.
Précautions essentielles pour les utilisateurs de WhatsApp
Les experts en sécurité conseillent aux utilisateurs de rester prudents lorsqu'ils reçoivent des pièces jointes inattendues via WhatsApp, même si les messages semblent provenir de contacts de confiance. Les types de fichiers suivants ne doivent jamais être ouverts sans que leur légitimité ait été vérifiée de manière indépendante :
- fichiers de script VBS et VBE
- Les fichiers exécutables tels que EXE, BAT et CMD
- Formats basés sur des scripts, notamment JS et PS1
Vérifier les pièces jointes avant de les ouvrir reste l'une des défenses les plus efficaces contre les campagnes de logiciels malveillants qui exploitent les plateformes de communication de confiance.
