Microsoft a mis au jour une nouvelle campagne malveillante qui cible les utilisateurs de WhatsApp sur Windows. Des cybercriminels cherchent à prendre le contrôle à distance de leur PC.
Les cybercriminels ciblent régulièrement WhatsApp pour mettre en place leurs sombres desseins. Dans un récent article de blog, des chercheurs de Microsoft Defender signalent ainsi l’existence d’une campagne sophistiquée dont l’objectif ultime est de prendre le contrôle à distance de votre PC. Une fois encore, les pirates misent sur l’ingénierie sociale pour s’infiltrer.
Dans un premier temps, la cible reçoit une pièce jointe d’apparence anodine sur WhatsApp. Celle-ci dissimule en réalité un fichier .vbs (Visual Basic Script). Si l’attaquant parvient à convaincre la victime de l’exécuter, le script copie des outils Windows intégrés dans un dossier caché et leur attribue des noms imitant des composants système légitimes.
Un malware qui s’engouffre discrètement dans Windows via WhatsApp
Ces outils sont ensuite détournés pour télécharger des malwares. Les pirates utilisent ici la technique dite du “living off the land”, laquelle consiste à exploiter les ressources déjà présentes sur l’OS plutôt qu’à y installer des fichiers malveillants détectables par un antivirus. Toujours dans un souci de discrétion, les charges sont hébergées sur des plateformes cloud grand public comme AWS, Tencent Cloud ou Backblaze, si bien que le trafic réseau se fond dans une activité ordinaire.
Le malware tente ensuite d’obtenir des privilèges administrateur et modifie les paramètres UAC (le mécanisme qui affiche les fenêtres de confirmation lors d’installations ou de changements système) ainsi que des clés de registre pour assurer sa persistance. Au terme de la chaîne d’infection, plusieurs installeurs MSI non signés — notamment Setup.msi, WinRAR.msi, AnyDesk.msi — déploient un accès à distance, offrant à l’attaquant un contrôle étendu sur l’ordinateur.
Il peut alors espionner l’activité de la victime, exfiltrer des données sensibles, injecter d’autres programmes malveillants et utiliser la machine compromise pour attaquer d’autres systèmes. Précision importante, les pirates peuvent reproduire cette technique sur d’autres canaux de communication, pas uniquement sur WhatsApp. Voici quelques conseils distillés par Malwarebytes pour rester en sécurité :
- N’ouvrez jamais une pièce jointe non sollicitée sans en avoir vérifié l’origine auprès d’une source fiable.
- Activez l’affichage des extensions de fichiers dans l’Explorateur — désactivé par défaut — pour qu’un fichier se faisant passer pour une image mais se terminant en .vbs ou .msi puisse être immédiatement identifié (ouvrez l’Explorateur de fichiers > Afficher > Afficher puis cochez “Extensions des noms de fichiers).
- Utilisez un logiciel antivirus performant et mis à jour.
- Surveillez les signaux d’alerte : des fenêtres UAC qui s’affichent sans raison, un logiciel apparu à votre insu ou des ralentissements après l’ouverture d’une pièce jointe sont autant d’indices qui justifient un scan immédiat et, si nécessaire, une restauration depuis une sauvegarde saine.
A lire aussi > Arnaque WhatsApp : votre compte peut être piraté à votre insu
Source : Microsoft
