Une campagne de logiciels malveillants cible actuellement les utilisateurs de WhatsApp dans plusieurs pays avec des messages trompeurs. Ces messages véhiculent des fichiers VBScript qui conduisent à un accès à distance au système.
Les fichiers sont nommés pour ressembler à des documents commerciaux ou financiers, comme des rapports d’activité ou des relevés de facturation. Ils semblent provenir de contacts dont les comptes ont été préalablement compromis.
Lorsqu’une victime télécharge et ouvre le fichier, une chaîne d’infection se déclenche. Cette chaîne aboutit à l’installation du logiciel légitime ManageEngine Endpoint Central, normalement utilisé par les administrateurs informatiques pour gérer des systèmes à distance.
Les données de télémétrie de la société de cybersécurité Kaspersky indiquent que la campagne s’est propagée au Brésil, en Inde, au Mexique, à Singapour, au Royaume-Uni, en Espagne, à Taïwan, en Australie, en Russie, au Vietnam et en Malaisie.
Le déroulement de l’attaque
Les attaques débutent par des messages envoyés depuis des comptes piratés. Ces messages ne contiennent qu’un seul fichier VBScript fortement brouillé.
Les noms de ces fichiers sont conçus pour attirer l’attention de la cible et l’inciter à les ouvrir. Ils sont également traduits dans plusieurs langues, ce qui confirme la portée internationale de la campagne.
Source : Kaspersky
Kaspersky explique : « D’après les éléments recueillis auprès de plusieurs victimes via des signalements sur les réseaux sociaux et des échantillons analysés, nous pouvons conclure que le pirate a pris le contrôle de plusieurs comptes WhatsApp. Il les a ensuite utilisés pour distribuer les fichiers VBScript malveillants à tous les contacts des utilisateurs compromis. »
« À l’heure actuelle, la méthode exacte utilisée pour compromettre ces comptes reste inconnue. »
Si la victime ouvre le fichier sur Windows, le VBScript télécharge deux scripts supplémentaires depuis l’infrastructure de l’attaquant. Ces scripts désactivent ensuite les protections UAC en modifiant le registre Windows. Enfin, ils téléchargent une archive ZIP qui contient le programme ManageEngine Endpoint Central.
Source : Kaspersky
Le logiciel est installé silencieusement en arrière-plan et configuré pour se connecter à des serveurs de gestion contrôlés par le pirate. Ceci lui donne un accès d’administration à distance sur l’ordinateur de la victime.
Kaspersky précise que lorsque le fichier VBScript initial est envoyé via WhatsApp Web, il doit être téléchargé manuellement. Mais lorsqu’il est ouvert dans l’application de bureau WhatsApp, il peut être exécuté directement via Windows Script Host (wscript.exe).
Source : Kaspersky
Les chercheurs de Kaspersky n’attribuent pas ces attaques à un pirate précis. Cependant, ils ont trouvé des indices d’utilisation de la langue chinoise et des recoupements d’infrastructures avec des adresses IP précédemment liées aux activités des RAT Valley et Gh0st.
Les preuves ne sont toutefois pas suffisantes pour établir une attribution avec un haut niveau de confiance.
Il est recommandé aux utilisateurs de WhatsApp de traiter avec prudence les fichiers envoyés par des contacts, même de confiance, et de toujours les vérifier par un second moyen de communication.
Tous les fichiers téléchargés doivent être analysés par un antivirus à jour avant d’être ouverts.