Fin février 2026, une campagne a été détectée qui profite des messages de WhatsApp pour distribuer des fichiers malveillants écrits en Visual Basic Script (VBS). Selon les chercheurs de Microsoft, le vecteur initial est les fichiers qui, s'ils sont gérés par l'utilisateur, déclenchent une chaîne d'infection multiphase conçue pour rester dans le système et fournir un accès à distance aux attaquants. Ce qui rend cette opération particulièrement dangereuse, c'est le mélange de l'ingénierie sociale avec l'utilisation d'outils légitimes du système lui-même et des services cloud reconnus. Pour comprendre la portée et les implications, il convient de ventiler le fonctionnement de l'intrusion et les mesures à prendre pour réduire le risque.
Le point de départ - selon l'enquête - est l'envoi d'un VBS par WhatsApp dont le contenu cherche à persuader la victime de l'exécuter, bien que Microsoft n'a pas encore confirmé les leurres exacts utilisés par les attaquants. Une fois activé, le script crée des dossiers cachés dans C:\ ProgramData et dépose des versions renommées des exécutables légitimes de Windows. Parmi les fichiers identifiés sont des utilitaires tels que curl.exe et bitsadmin.exe, mais avec de faux noms tels que netapi.dll et sc.exe à confondre avec le trafic et les processus système habituels.
Une fois l'accès initial atteint, la campagne continue de télécharger des charges utiles secondaires hébergées dans des services de stockage en nuage largement utilisés. Microsoft a observé que des fichiers VBS complémentaires sont obtenus à partir de plateformes telles que les services Amazon S3, Tencent Cloud et BackBlaze B2. En accueillant des composants dans une infrastructure fiable, les attaquants rendent la détection difficile et bénéficient de la réputation de ces services pour camoufler leurs téléchargements malveillants. Si vous voulez vérifier pourquoi ces fournisseurs sont courants dans de tels abus, vous pouvez lire la documentation publique AWS S3 ( aws.amazon.com / s3), Nuage Tencent ( tl.cloud) et BackBlaze B2 ( backBlaze.com).
Le but de ces binaires et scripts secondaires est double : établir la persistance et étaler les privilèges. Les attaquants essaient d'affaiblir les mécanismes de contrôle de compte (UAC) pour exécuter des commandes avec des privilèges élevés. Selon l'analyse, le malware tente de lancer à plusieurs reprises cmd.exe avec élévation jusqu'à ce qu'il soit atteint ou jusqu'à ce que le processus soit interrompu, ainsi que de modifier les clés d'enregistrement sous HKLM\\ Logiciel\ Microsoft\\ Gagnez pour insérer des mécanismes qui survivent au redémarrage. Ce type de manipulation vise à ce que le contrôle de la machine ne dépende pas de l'interaction continue de l'utilisateur.
Une fois qu'ils atteignent des privilèges élevés, les opérateurs installent des paquets MSI non signés qui fournissent un accès à distance persistant. Parmi les outils observés dans les déploiements malveillants, AnyDesk, un logiciel d'accès à distance légitime qui, entre les mains d'un attaquant, permet d'exfilter des informations, d'exécuter des actions supplémentaires ou de déployer des charges utiles supplémentaires. Cette stratégie - utilisant des logiciels légitimes pour atteindre des objectifs malveillants - est une variante classique des techniques de «vivre hors-la-terre» et complique le travail de détection parce que de nombreuses défenses tendent à permettre le trafic ou les processus considérés comme routiniers.
Du point de vue technique et opérationnel, il y a deux leçons importantes. La première est que l'utilisation d'utilitaires renommés rend le comportement malveillant ordinaire dans les enregistrements et le trafic réseau; par exemple, télécharger à partir de S3 avec une copie de curl renommé ne génère pas nécessairement les mêmes alertes qu'un outil externe inconnu. La seconde est que l'hébergement de binaires sur des plateformes de confiance réduit la probabilité que les transferts soient bloqués par des politiques de sécurité qui reposent implicitement sur des domaines et des paramètres connus.
Pour les utilisateurs et les administrateurs, cela se traduit par des recommandations pratiques claires: ne pas exécuter les fichiers reçus par messagerie instantanée sans les vérifier, même s'ils proviennent de contacts connus; activer et garder à jour un antivirus et des solutions EDR; revoir les politiques d'exécution des scripts et les restrictions sur l'installation du logiciel; vérifier l'exécution de binaires renommés et surveiller les modifications aux clés sensibles du Registre et la configuration UAC. Microsoft publie des directives générales et des alertes de menace qui peuvent aider à réagir aux incidents et aux systèmes de durcissement: Microsoft Security Blog et la documentation de leurs solutions de protection des terminaux ( learn.microsoft.com - Défenseur pour Endpoint).
Il est également utile de connaître les vecteurs de messagerie et leurs options de sécurité: WhatsApp a des guides et des conseils sur la façon d'identifier les messages suspects et de protéger les comptes, qui devraient être consultés si vous recevez des fichiers inattendus ou des liens ( Whatsapp - Sécurité). Pour les gestionnaires d'infrastructure, des ressources telles que le cadre MITRE ATT & CK aident à classer et à comprendre les techniques utilisées par les attaquants, y compris l'abus des utilitaires du système et l'utilisation du stockage en nuage comme canal de livraison ( mitre.org / attaque).
Si vous soupçonnez qu'un système a été compromis par une telle campagne, ne l'éteignez pas immédiatement sans documenter l'incident, à moins qu'il n'y ait un risque imminent; dans de nombreux cas, les équipes d'intervention recommandent d'isoler la machine du réseau, de conserver les dossiers et la mémoire si possible, et d'escalader une équipe d'intervention ou le fournisseur de sécurité. Les organismes nationaux de cybersécurité publient également des guides et des alertes sur les nouvelles menaces; par exemple, l'organisme américain CISA dispose de ressources pour répondre aux campagnes en utilisant des techniques de persistance et d'accès à distance ( cisa.gov - alertes).
Bref, cette campagne réaffirme une tendance que les équipes de sécurité observent depuis des années : les agresseurs combinent la confiance qu'ils génèrent des outils et services légitimes avec des leurres sociaux pour surmonter les défenses. Une protection efficace dépend non seulement du blocage de l'évidence, mais aussi de l'identification de modèles atypiques dans les processus quotidiens et de l'éducation des utilisateurs à ne pas transformer un simple message en porte d'entrée d'un plus grand engagement. Le maintien de systèmes à jour, la limitation de l'exécution de scripts non vérifiés, le suivi des changements critiques dans le Registre et la configuration des UAC, et la mise en œuvre de contrôles d'application et de performance demeurent des mesures essentielles pour réduire l'impact de ces campagnes.
Pour élargir l'information et voir d'autres alertes et analyses sur des menaces similaires, vous pouvez consulter des sources spécialisées dans la cybersécurité et les nouvelles techniques comme Calculateur ou les communiqués officiels et les blogs des fournisseurs concernés.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...