Campagne de phishing sur WhatsApp : des fichiers VBS malveillants pour prendre le contrôle des PC

Une campagne de cybercriminalité en cours cible les utilisateurs de WhatsApp dans plusieurs pays avec des messages trompeurs contenant des fichiers VBS malveillants. Ces fichiers, présentés comme des documents professionnels ou financiers, déclenchent une chaîne d’infection aboutissant à l’installation d’un logiciel de gestion à distance. Une fois en place, ce logiciel permet aux attaquants de prendre le contrôle complet de l’ordinateur de la victime.

Les attaques commencent par des messages envoyés depuis des comptes WhatsApp compromis. Ces messages ne contiennent qu’un fichier VBS fortement obfusqué, souvent nommé de manière à évoquer un rapport financier, une facture ou un avis de compte. Les noms de fichiers sont adaptés à la langue locale, ce qui facilite la propagation de la campagne à l’échelle internationale. Dès que la victime télécharge et exécute le fichier, le processus d’infection est lancé. L’objectif final est d’installer un outil légitime de gestion informatique, ManageEngine Endpoint Central, qui est ensuite configuré pour se connecter à des serveurs contrôlés par les attaquants. Ces derniers obtiennent ainsi un accès à distance sur la machine infectée.

Les données de télémétrie de Kaspersky indiquent que la campagne touche des pays variés, dont le Brésil, l’Inde, le Mexique, Singapour, le Royaume-Uni, l’Espagne, Taïwan, l’Australie, la Russie, le Vietnam et la Malaisie. L’ampleur géographique de cette opération suggère une préparation minutieuse et une infrastructure bien organisée. Les attaquants exploitent des comptes WhatsApp déjà compromis pour envoyer leurs messages malveillants aux contacts des victimes, augmentant ainsi leurs chances de succès. La méthode exacte utilisée pour compromettre ces comptes reste pour l’instant inconnue, ce qui ajoute une dimension d’incertitude quant à l’origine et aux motivations des cybercriminels.

Comment fonctionne l’attaque par fichiers VBS sur WhatsApp

Le vecteur d’infection repose sur l’envoi de fichiers VBS (Visual Basic Script) via WhatsApp. Ces fichiers, bien que simples en apparence, contiennent du code malveillant capable de déclencher une série d’actions automatisées sur l’ordinateur de la victime. Lorsque le fichier est ouvert, il exécute un script qui télécharge deux scripts supplémentaires depuis l’infrastructure des attaquants. Ces scripts ont pour mission de désactiver les protections de l’UAC (User Account Control) en modifiant le registre Windows, une étape cruciale pour éviter d’alerter l’utilisateur avec des avertissements de sécurité.

Une fois les protections UAC désactivées, le script malveillant télécharge une archive ZIP contenant le logiciel ManageEngine Endpoint Central. Ce programme, légitime à l’origine, est utilisé par les services informatiques pour gérer à distance les postes de travail. Dans ce cas précis, il est détourné par les attaquants pour établir une connexion vers leurs serveurs de commande et contrôle. Une fois installé et configuré, le logiciel permet aux cybercriminels d’exécuter des commandes à distance, de voler des données ou même d’installer d’autres malwares. Cette technique illustre une forme d’attaque connue sous le nom de « living-off-the-land », où les attaquants utilisent des outils légitimes pour masquer leurs activités malveillantes.

Un aspect particulièrement insidieux de cette campagne réside dans la manière dont les fichiers VBS sont livrés. Lorsque le fichier est reçu via WhatsApp Web, la victime doit explicitement le télécharger et l’ouvrir pour que l’infection se produise. En revanche, si le message est ouvert via l’application WhatsApp Desktop, le fichier peut être exécuté directement par Windows Script Host (wscript.exe) sans nécessiter de téléchargement préalable. Cette différence de comportement entre les plateformes augmente les risques d’infection, car elle réduit les étapes nécessaires pour déclencher l’attaque.

Les comptes WhatsApp compromis : une porte d’entrée pour les cybercriminels

L’un des éléments les plus préoccupants de cette campagne est l’utilisation de comptes WhatsApp déjà compromis pour diffuser les fichiers malveillants. Les attaquants n’ont pas besoin de convaincre la victime d’accepter un contact inconnu ; ils se font passer pour des contacts de confiance, ce qui augmente considérablement le taux de réussite de l’arnaque. Les messages envoyés semblent provenir de personnes que la victime connaît, ce qui rend l’approche plus crédible et moins suspecte.

Les noms de fichiers utilisés dans cette campagne sont soigneusement choisis pour apparaître légitimes. Ils incluent des termes comme « rapport financier », « facture », « avis de compte » ou « document officiel », adaptés à la langue de la victime. Cette personnalisation renforce l’illusion de crédibilité et incite les utilisateurs à ouvrir le fichier sans méfiance. Les attaquants exploitent ainsi des techniques d’ingénierie sociale avancées, combinant l’usurpation d’identité et la manipulation psychologique pour maximiser leurs chances de succès.

La méthode exacte utilisée pour compromettre les comptes WhatsApp reste inconnue à ce stade. Plusieurs hypothèses sont envisageables : phishing classique via des liens malveillants, exploitation de vulnérabilités logicielles, ou encore vol de données de connexion via des logiciels malveillants déjà présents sur les appareils des victimes. Quelle que soit la méthode employée, cette campagne démontre une fois de plus que les plateformes de messagerie instantanée, bien que pratiques, peuvent devenir des vecteurs d’attaques redoutables lorsque les comptes sont compromis.

ManageEngine Endpoint Central : un outil légitime détourné à des fins malveillantes

ManageEngine Endpoint Central est un logiciel de gestion des postes de travail développé par Zoho Corporation. Il est couramment utilisé par les équipes informatiques pour déployer des mises à jour, configurer des politiques de sécurité ou surveiller l’activité des machines. Dans cette campagne, les attaquants détournent cet outil pour en faire un cheval de Troie, lui permettant d’établir une connexion persistante et discrète vers leurs serveurs de commande et contrôle.

Une fois installé, le logiciel est configuré pour se connecter à des serveurs contrôlés par les attaquants. Cela leur donne un accès à distance complet sur la machine infectée, similaire à celui d’un administrateur système. Les cybercriminels peuvent ainsi exécuter des commandes, voler des données sensibles, installer des malwares supplémentaires ou même utiliser la machine comme point d’entrée pour d’autres attaques au sein du réseau local. Cette technique est particulièrement dangereuse car elle exploite un outil de confiance, ce qui rend l’activité malveillante plus difficile à détecter par les solutions de sécurité traditionnelles.

Les attaquants profitent également du fait que ManageEngine Endpoint Central est souvent utilisé dans des environnements professionnels. Une fois installé sur un poste de travail, il peut se propager à d’autres machines du réseau si les politiques de sécurité ne sont pas strictement appliquées. Cette capacité de propagation latérale augmente considérablement l’impact potentiel de l’attaque, transformant une simple infection en une compromission à grande échelle.

Une campagne à l’échelle mondiale : quels pays sont touchés ?

Selon les données de télémétrie de Kaspersky, cette campagne de phishing touche des utilisateurs dans au moins onze pays répartis sur plusieurs continents. Parmi les pays concernés figurent le Brésil, l’Inde, le Mexique, Singapour, le Royaume-Uni, l’Espagne, Taïwan, l’Australie, la Russie, le Vietnam et la Malaisie. Cette répartition géographique suggère que les attaquants ont ciblé des régions spécifiques, probablement en fonction de critères linguistiques ou économiques.

La diversité des pays touchés indique que la campagne est bien organisée et qu’elle exploite des vecteurs d’attaque adaptés aux langues locales. Les noms de fichiers, par exemple, sont traduits pour correspondre à la langue maternelle des victimes, ce qui rend l’arnaque plus convaincante. Cette approche permet aux attaquants de maximiser leur taux de réussite en s’adressant directement aux utilisateurs dans leur langue maternelle.

L’ampleur géographique de cette campagne soulève également des questions sur la méthode de propagation des comptes compromis. Si les attaquants ont réussi à compromettre des comptes WhatsApp dans plusieurs pays, cela pourrait indiquer une exploitation massive de vulnérabilités ou une campagne de phishing à grande échelle visant à voler des identifiants de connexion. Une fois ces identifiants obtenus, les cybercriminels peuvent les utiliser pour envoyer des messages malveillants à grande échelle, augmentant ainsi la portée de leur attaque.

Comment se protéger contre cette campagne de phising sur WhatsApp

Pour les utilisateurs de WhatsApp, la première ligne de défense consiste à adopter une approche sceptique face aux fichiers ou liens reçus, même s’ils proviennent de contacts de confiance. Il est essentiel de vérifier systématiquement l’authenticité des messages avant d’ouvrir un fichier, surtout s’il s’agit d’un document financier ou professionnel. Une simple confirmation par un autre canal de communication, comme un appel téléphonique ou un message vocal, peut suffire à éviter une infection.

Sur le plan technique, il est recommandé de désactiver l’exécution automatique des scripts VBS via Windows Script Host. Cette mesure peut être appliquée en modifiant les paramètres de stratégie de groupe ou en utilisant des outils de sécurité pour bloquer l’exécution de fichiers VBS non signés. De plus, maintenir à jour son système d’exploitation et ses logiciels de sécurité est crucial pour se prémunir contre les vulnérabilités exploitées par les attaquants. Les utilisateurs doivent également être vigilants face aux modifications du registre Windows, car les scripts malveillants utilisent souvent cette méthode pour désactiver les protections UAC.

Pour les entreprises, la mise en place de politiques de sécurité strictes est indispensable. Cela inclut la restriction de l’installation de logiciels non autorisés, la surveillance des connexions sortantes vers des serveurs inconnus, et l’utilisation de solutions de détection des menaces avancées. Les équipes informatiques doivent également sensibiliser leurs employés aux risques liés au phishing et aux techniques d’ingénierie sociale, afin de réduire les chances de succès des attaques.

Que faire en cas d’infection par ce malware ?

Si un utilisateur suspecte d’avoir été infecté par ce malware, la première étape consiste à déconnecter immédiatement la machine du réseau pour limiter la propagation de l’attaque. Il est ensuite recommandé de lancer une analyse complète du système avec un antivirus à jour pour identifier et supprimer les fichiers malveillants. Dans certains cas, une réinstallation complète du système d’exploitation peut être nécessaire pour garantir une éradication totale de la menace.

Il est également conseillé de réinitialiser le mot de passe du compte WhatsApp compromis et de vérifier les autres comptes associés à cette adresse, car les attaquants pourraient tenter d’utiliser les informations volées pour accéder à d’autres services. Les utilisateurs doivent signaler le message malveillant à WhatsApp via les canaux officiels de signalement, afin que la plateforme puisse prendre des mesures pour bloquer les comptes compromis et prévenir d’autres attaques.

Enfin, il est important de conserver les preuves de l’attaque, telles que les captures d’écran des messages ou des fichiers malveillants, afin de les transmettre aux autorités compétentes ou aux équipes de sécurité informatique. Ces informations peuvent être utiles pour identifier l’origine de l’attaque et renforcer les mesures de protection contre de futures campagnes similaires.

Perspectives : une menace qui évolue et se professionnalise

Cette campagne de phishing illustre une tendance croissante dans le paysage des cybermenaces : l’utilisation de techniques sophistiquées et de logiciels légitimes pour masquer les activités malveillantes. Les attaquants ne se contentent plus de simples emails de phishing ; ils exploitent désormais des plateformes populaires comme WhatsApp, des outils de gestion informatique comme ManageEngine Endpoint Central, et des méthodes d’obfuscation avancées pour contourner les protections.

La professionnalisation des cybercriminels se manifeste également par l’adaptation de leurs attaques aux langues et aux cultures locales, ainsi que par l’utilisation de serveurs de commande et contrôle sophistiqués. Ces évolutions rendent les attaques plus difficiles à détecter et à contrer, ce qui souligne l’importance d’une veille technologique constante et de l’adoption de bonnes pratiques en matière de cybersécurité.

À l’avenir, il est probable que ce type de campagne se multiplie, avec des variantes adaptées à d’autres plateformes de messagerie ou à d’autres outils logiciels. Les utilisateurs et les entreprises doivent donc rester vigilants, mettre à jour régulièrement leurs systèmes et former leurs employés aux risques liés au phishing et aux techniques d’ingénierie sociale. La cybersécurité est un domaine en perpétuelle évolution, et la meilleure défense reste une combinaison de technologies, de sensibilisation et de réactivité face aux nouvelles menaces.