Microsoft alerte sur une nouvelle campagne de malware exploitant WhatsApp sur Windows, permettant une prise de contrôle complète des machines après un simple clic.
L’attaque repose sur l’envoi de fichiers VBS malveillants via la messagerie. Une fois exécuté, le script déclenche une chaîne d’infection visant à installer un accès distant persistant.
Le malware utilise une technique dite “living-off-the-land”, en détournant des outils légitimes de Windows comme bitsadmin.exe ou curl.exe pour éviter toute détection.
Ces outils sont ensuite utilisés pour télécharger d’autres charges depuis des services cloud comme AWS ou Tencent, rendant le trafic difficile à distinguer d’une activité normale.
Au final, des logiciels piégés imitant des outils populaires sont installés, ouvrant une porte dérobée et permettant l’exfiltration de données ou l’intégration dans un botnet.
Le point critique réside dans la discrétion de l’attaque : en s’appuyant sur des services et outils légitimes, elle passe sous les radars des solutions de sécurité classiques.
Le malware modifie également des paramètres système pour s’ancrer durablement, notamment en tentant de désactiver les protections et en persistant après redémarrage.
Cette campagne illustre un scénario de plus en plus fréquent : l’exploitation d’outils de confiance et d’applications du quotidien pour contourner les défenses traditionnelles.