### WhatsApp comme vecteur de malware **Microsoft** attire l'attention sur une nouvelle campagne qui a exploité les messages **WhatsApp** pour distribuer des fichiers malveillants Visual Basic Script (VBS). L'activité, qui a débuté fin février 2026, utilise ces scripts pour initier une chaîne d'infection multi-étapes afin d'établir la persistance et de permettre l'accès à distance. Les leurres spécifiques utilisés pour inciter les utilisateurs à exécuter les scripts restent inconnus. ### Tactiques "Living-off-the-Land" "La campagne repose sur une combinaison d'ingénierie sociale et de techniques de 'living-off-the-land'", a déclaré l'équipe de recherche en sécurité de **Microsoft Defender**. "Elle utilise des utilitaires Windows renommés pour se fondre dans l'activité normale du système, récupère des payloads à partir de services cloud de confiance tels que **AWS**, **Tencent Cloud** et **Backblaze B2**, et installe des packages **Microsoft** Installer (MSI) malveillants pour maintenir le contrôle du système." L'utilisation d'outils légitimes et de plateformes de confiance permet aux acteurs de la menace de se fondre dans l'activité réseau normale et d'augmenter la probabilité de succès. ### Chaîne d'infection L'activité commence par la distribution de fichiers VBS malveillants par les attaquants via des messages **WhatsApp**. Une fois exécutés, ces fichiers créent des dossiers cachés dans `C:\ProgramData` et déposent des versions renommées d'utilitaires Windows légitimes comme `curl.exe` (renommé en `netapi.dll`) et `bitsadmin.exe` (renommé en `sc.exe`).  ### Persistance et escalade de privilèges Après avoir obtenu un premier point d'ancrage, les attaquants visent à établir la persistance et à escalader les privilèges, installant finalement des packages MSI malveillants sur les systèmes des victimes. Ceci est réalisé en téléchargeant des fichiers VBS auxiliaires hébergés sur **AWS S3**, **Tencent Cloud** et **Backblaze B2** en utilisant les binaires renommés. ### Contournement de l'UAC et déploiement MSI "Une fois les payloads secondaires en place, le malware commence à altérer les paramètres du Contrôle de compte d'utilisateur (UAC) pour affaiblir les défenses du système", a déclaré **Microsoft**. "Il tente continuellement de lancer `cmd.exe` avec des privilèges élevés, en réessayant jusqu'à ce que l'élévation UAC réussisse ou que le processus soit terminé de force, en modifiant les entrées de registre sous `HKLM\Software\Microsoft\Win`, et en intégrant des mécanismes de persistance pour garantir que l'infection survive aux redémarrages du système." Ces actions permettent aux acteurs de la menace d'obtenir des privilèges élevés sans interaction de l'utilisateur via une combinaison de manipulation du registre avec des techniques de contournement de l'UAC, et de déployer finalement des installateurs MSI non signés. Cela inclut des outils légitimes comme **AnyDesk** qui fournissent aux attaquants un accès à distance persistant, leur permettant d'exfiltrer des données ou de déployer davantage de malwares. ### Techniques sophistiquées "Cette campagne démontre une chaîne d'infection sophistiquée combinant l'ingénierie sociale (livraison via **WhatsApp**), des techniques furtives (outils légitimes renommés, attributs cachés) et l'hébergement de payloads basé sur le cloud", a déclaré **Microsoft**.