Campagne de diffusion de logiciels malveillants sophistiqués
Cette campagne a été découverte par le Groupe de recherche et d'analyse mondiale (GReAT) de Kaspersky en juin 2026. Les victimes de cette campagne d'attaque ont été recensées dans de nombreux pays et territoires, notamment en Malaisie, au Brésil, à Singapour, à Taïwan (Chine) et au Vietnam, la Malaisie ayant enregistré le plus grand nombre de victimes.
L'utilisation de noms de fichiers dans différentes langues montre également que l'opération est déployée à grande échelle, en particulier dans les pays de la région européenne.
Selon les résultats de l'étude, les personnes à l'origine de la campagne ont profité des comptes WhatsApp précédemment piratés pour diffuser des pièces jointes contenant du code malveillant.
Les malfaiteurs ont envoyé des messages à partir de contacts situés dans les contacts existants de ces comptes, ce qui permet aux destinataires de faire confiance et d'ouvrir facilement des fichiers. Une fois le logiciel malveillant activé, l'agresseur peut accéder à distance au système via des fonctionnalités de gestion pré-conçues à des fins de soutien et de gestion technologique légales.
Les malfaiteurs ont utilisé des astuces d'escroquerie utilisant l'ingénierie sociale (social engineering) en déguisant les fichiers malveillants sous la forme de documents de travail familiers tels que les factures de paiement, les relevés bancaires, les relevés de compte, les documents de paiement ou les avis de créance afin de créer un sentiment de fiabilité et de tromper les victimes.
Le nom du fichier a également été localisé dans de nombreuses langues telles que l'anglais, le portugais, le français, l'allemand et le malais, ce qui montre que l'opération est déployée dans de nombreuses régions linguistiques différentes. De plus, les modèles de fichiers VBScript contiennent également de grandes quantités de notes et de métadonnées visant à imiter les composants légitimes de Microsoft Windows Update.
M. Fareed Radzi, chercheur en sécurité chez Kaspersky GReAT, a déclaré: "Dans cette opération, les attaquants exploitent le facteur de confiance sur les plateformes de messagerie en utilisant des comptes WhatsApp qui ont été piratés pour envoyer des pièces jointes avec des codes malveillants. Étant donné que ces fichiers sont envoyés à partir de contacts familiers, les destinataires ont tendance à les ouvrir davantage.
Le nom du fichier est soigneusement camouflé sous forme de documents de travail ordinaires tels que des factures ou des notifications de paiement, et est localisé dans de nombreuses langues pour élargir la portée de la cible. Une fois ouverts, ces fichiers activeront une chaîne d'infection à plusieurs étapes, téléchargeront et mettront en œuvre secrètement des composants malveillants supplémentaires provenant de l'infrastructure contrôlée par l'attaquant".
Conseils
Pour éviter d'être infecté par des logiciels malveillants, les experts en cybersécurité ont formulé des recommandations aux utilisateurs:
- Soyez prudent lorsque vous recevez des pièces jointes étranges via WhatsApp, même si elles sont envoyées à partir de contacts familiers, car ces fichiers peuvent contenir du code malveillant et être exécutés sur l'appareil.
- N'ouvrez pas les fichiers de type script ou fichiers exécutables tels que .vbs, .vbe, .exe, .bat, .cmd, .js et .ps1 si leur validité n'a pas été vérifiée de manière indépendante.
- Utilisez des solutions de sécurité fiables sur tous les ordinateurs et appareils mobiles. Ces solutions ont la capacité d'alerter et de prévenir les risques d'infection avant qu'ils n'aient un impact.
