Microsoft met en garde contre une campagne malveillante utilisant WhatsApp pour cibler les utilisateurs avec des fichiers MSI dangereux. Ces attaques permettent aux cybercriminels d’accéder à distance aux ordinateurs des victimes et de voler leurs données personnelles.
Processus d’attaque par étapes multiples
Les attaquants lancent leur campagne avec un message contenant un fichier script Visual Basic (VBS) malveillant. Ce script crée des dossiers cachés et utilise des utilitaires Windows renommés pour se fondre dans le réseau de la victime. Des outils tels que curl.exe et bitsadmin.exe sont employés pour éviter d’éveiller les soupçons.
Téléchargement de scripts nuisibles depuis le cloud
Les fichiers malveillants téléchargent ensuite d’autres scripts nuisibles depuis des services cloud réputés comme AWS et Tencent Cloud. L’objectif est d’augmenter les privilèges utilisateur afin de maintenir l’accès même après un redémarrage du système.
Risques liés aux logiciels MSI non signés
Les attaquants déploient plusieurs installateurs MSI, tels que Setup.msi, WinRAR.msi, LinkPoint.msi, et AnyDesk.msi. Bien que ces outils soient légitimes, l’absence de signature numérique est un indicateur de danger potentiel.
Conseils de sécurité de Microsoft
- Soyez vigilant face aux pièces jointes suspectes sur WhatsApp, même si elles semblent provenir de contacts connus.
- Suivez une formation adéquate pour reconnaître ces menaces avant qu’elles ne causent des dommages irréversibles.
