Des fichiers VBScript distribués via WhatsApp permettent à des attaquants de prendre le contrôle complet d'un PC Windows. Microsoft alerte sur une campagne qui a débuté fin février.
L'équipe Microsoft Defender Security Research a publié une analyse technique détaillée dans laquelle les experts décrivent WhatsApp comme le principal de cette attaque. Mais c'est une chaîne de techniques propres à Windows qui rend l'attaque difficile à détecter.
WhatsApp comme point d'entrée, Windows comme terrain de jeu
Tout commence par un simple message WhatsApp contenant un fichier .vbs. Pour mémoire, VBScript est un langage de script intégré nativement à Windows, conçu pour automatiser des tâches courantes. Son exécution est rarement passée au crible par des solutions de sécurité traditionnelles. Une fois le fichier ouvert, la chaîne d'infection se déclenche sans autre action de la part de la victime.
Le script crée des dossiers cachés dans "C:\ProgramData". Il y copie des utilitaires Windows parfaitement légaux, renommés pour passer inaperçus. : curl.exe, un utilitaire de téléchargement en ligne de commande, est rebaptisé "netapi.dll" ; bitsadmin.exe prend le nom de "sc.exe". L'objectif est bien entendu de les rendre moins suspects au premier coup d'œil.
Ces outils détournés se connectent ensuite à des services cloud (AWS S3, Tencent Cloud, Backblaze B2) afin de récupérer des charges malveillantes supplémentaires. Depuis un pare-feu ou un système de surveillance réseau, le trafic ressemble à des échanges normaux. C'est ce que les chercheurs appellent le "living-off-the-land" : exploiter ce qui est déjà présent sur le système, plutôt qu'introduire des outils d'emblée suspects. Mi-mars, nous rapportions qu'une alerte avait été lancée en France sur les risques croissants liés aux messageries instantanées comme vecteurs d'attaque - cette campagne vient confirmer ce constat.
Un malware qui contourne l'UAC
Avec ces outils en place, le malware s'attaque à l'UAC (le Contrôle de Compte Utilisateur). Ce mécanisme Windows est censé avertir l'utilisateur quand un programme cherche à obtenir des droits d'administrateur. Le malware modifie une valeur du registre - "ConsentPromptBehaviorAdmin" - pour désactiver ces alertes, puis relance cmd.exe en boucle jusqu'à ce qu'il obtienne les privilèges nécessaires.
Avec ces droits élevés, les attaquants installent des paquets MSI sans signature numérique. Parmi ces derniers, on retrouve l'outil de prise en main à distance AnyDesk.msi, WinRAR.msi et LinkPoint.msi. Cet arsenal leur permet donc d'ouvrir un accès permanent au poste infecté, d'exfiltrer des données ou de déployer d'autres logiciels malveillants.
Microsoft souligne que chaque exécutable Windows embarque dans ses métadonnées un champ appelé "OriginalFileName" : le nom d'origine du fichier, inscrit à la compilation. Renommer le fichier ne modifie pas cette valeur. Il convient donc d'utiliser un antivirus capable de détecter cet écart entre le nom affiché et le nom d'origine ou une suite de sécurité capable d'analyser le trafic réseau.
