// CLUBIC — MOBILE & WEB
WhatsApp ciblé par une campagne malveillante : des scripts VBS installent des outils de contrôle à distance
Des scripts VBScript distribués via WhatsApp installent discrètement un outil d’administration à distance sur les PC Windows des victimes. La campagne, encore active, a touché des utilisateurs dans onze pays, dont la Malaisie en tête avec 80 % des victimes, ainsi que le Brésil, l’Inde, le Mexique, Singapour, le Royaume-Uni, l’Espagne, Taïwan, l’Australie, la Russie et le Vietnam.
Un attaquant non identifié a compromis plusieurs comptes WhatsApp pour diffuser les fichiers piégés aux contacts des propriétaires. Les messages ne contiennent aucun texte, seulement une pièce jointe. Les noms de fichiers imitent des documents financiers courants, relevés bancaires, confirmations de dette, listes de paiements, et existent en plusieurs langues, notamment le portugais, le français, l’allemand et le malais.
Certains scripts intègrent des commentaires rédigés en chinois simplifié et des références à Windows Update. Les chercheurs qui ont découvert la campagne, l’attribuent pour le moment à un opérateur sinophone.
C’est presque trop simple de se faire infecter. Vous ouvrez la pièce jointe dans WhatsApp Desktop et de cliquez sur « Ouvrir » : Windows Script Host exécute aussitôt le fichier VBS depuis le dossier de stockage des pièces jointes, sans aucun avertissement visible. Au passage, si vous l’ignoriez, VBScript est un format de fichier exécutable intégré nativement à Windows, conçu à l’origine pour automatiser des tâches système.
Ce premier script crée un répertoire de travail caché sous C:\Users\Public\Documents\, avec un nom aléatoire du type MSUpdate_XXXX, puis télécharge deux scripts supplémentaires depuis une infrastructure distante contrôlée par l’attaquant. Certaines variantes renomment des utilitaires Windows légitimes comme curl.exe ou bitsadmin.exe en fichiers au format DLL avant de les utiliser. D’autres téléchargent les charges utiles avec des extensions PDF ou TXT, puis les renomment en VBS juste avant l’exécution.Ensuite, un script tente de désactiver les invites UAC, le mécanisme Windows qui demande une confirmation avant d’accorder des droits d’administrateur, en modifiant la valeur de registre ConsentPromptBehaviorAdmin à 0. L’opération tourne en boucle jusqu’à ce que les privilèges soient obtenus.
Enfin un troisième script télécharge une archive ZIP, en extrait le contenu, retire les métadonnées Zone. Identifier des fichiers extraits, marqueurs ajoutés automatiquement par Windows aux fichiers d’origine externe, puis lance l’installation.
L’archive ZIP contient un déployeur préconfiguré de ManageEngine Endpoint Central, un logiciel d’administration d’entreprise édité par Zoho Corporation. Normalement utilisé par les équipes IT pour gérer des parcs de machines, il offre une prise en main à distance complète, un déploiement de logiciels et un accès aux fichiers système. L’archive comprend l’installeur MSI, les certificats, les fichiers de configuration et un script setup1.vbs qui installe l’agent en mode silencieux, sans qu’aucune fenêtre n’apparaisse à l’écran.L’agent se connecte ensuite aux serveurs de commande et contrôle de l’attaquant. Les chercheurs ont relevé six adresses IP dans le fichier de configuration extrait, dont l’une, 202.61.160.201, avait déjà été observée dans des campagnes liées aux malwares ValleyRAT et Gh0st RAT, deux outils d’accès à distance associés à des acteurs sinophiles.
ManageEngine Endpoint Central n’est pas une menace pour les antivirus, qui ne le signalent donc pas. L'agent installé est fonctionnellement identique à ce qu’utilise un administrateur système autorisé, et rien dans son comportement ne déclenche d’alerte. Par ailleurs, le fichier provient d’un numéro enregistré dans vos contacts. Le compte expéditeur a été compromis au préalable, donc vous êtes privé du seul signal d’alerte habituel.
Si vous recevez via WhatsApp un fichier portant une extension VBS, VBE, BAT, CMD, JS ou PS1, n’ouvrez pas la pièce jointe, même si l’expéditeur est un contact connu. Prévenez-le par un autr