Microsoft alerte sur une campagne distribuant des scripts VBS malveillants via WhatsApp avec bypass UAC et payloads cloud. Chaîne d'infection sophistiquée active depuis février 2026.
En bref
- Une campagne active distribue des scripts VBS malveillants via des messages WhatsApp
- La chaîne d'infection contourne l'UAC Windows pour installer des packages MSI persistants
- Payloads hébergés sur AWS S3, Tencent Cloud et Backblaze B2 via des binaires renommés
Les faits
Microsoft Defender Security Research Team a publié début avril 2026 une alerte concernant une campagne sophistiquée utilisant WhatsApp comme vecteur de distribution initial. Les attaquants envoient des fichiers Visual Basic Script (VBS) via des messages directs, en s'appuyant sur de l'ingénierie sociale pour inciter les victimes à les exécuter. La campagne, active depuis fin février 2026, combine des techniques de social engineering avec des méthodes living-off-the-land pour échapper à la détection.
Une fois le script VBS initial exécuté, la chaîne d'infection télécharge des payloads secondaires depuis des services cloud légitimes — AWS S3, Tencent Cloud et Backblaze B2 — en utilisant des binaires Windows légitimes renommés pour masquer le trafic réseau. L'objectif final est l'installation de packages MSI malveillants assurant la persistance et l'accès distant. Microsoft qualifie cette chaîne d'infection de « sophistiquée », combinant ingénierie sociale, techniques furtives et hébergement cloud.
Impact et exposition
Tout utilisateur Windows recevant des fichiers via WhatsApp Desktop est potentiellement ciblé. La particularité de cette campagne réside dans le contournement de l'User Account Control (UAC), ce qui permet aux attaquants d'escalader les privilèges sans déclencher la fenêtre de confirmation habituelle. Une fois les paramètres UAC affaiblis, le malware dispose d'un accès quasi-administrateur pour modifier le système, désactiver des protections et installer des composants supplémentaires. L'utilisation de services cloud légitimes comme infrastructure de staging complique la détection réseau.
Recommandations
- Ne jamais exécuter de fichiers VBS, JS ou scripts reçus via WhatsApp ou toute messagerie instantanée
- Activer la politique de groupe « Toujours notifier » pour l'UAC et surveiller les modifications du registre HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
- Bloquer l'exécution de scripts VBS/WSH via AppLocker ou Windows Defender Application Control (WDAC)
- Mettre à jour les signatures Microsoft Defender et vérifier la détection des IoC publiés par Microsoft
Alerte critique
Cette campagne exploite la confiance accordée aux messages WhatsApp provenant de contacts connus. Les comptes WhatsApp compromis peuvent servir de relais pour propager les scripts VBS à l'ensemble du carnet d'adresses. Sensibilisez immédiatement vos équipes.
WhatsApp Web et WhatsApp mobile sont-ils tous les deux concernés ?
La chaîne d'infection repose sur l'exécution de scripts VBS, qui est spécifique à Windows. WhatsApp Desktop sur Windows est le vecteur principal. Les versions mobile (Android/iOS) ne peuvent pas exécuter nativement des fichiers VBS. Cependant, un utilisateur mobile pourrait transférer le fichier vers un PC Windows et l'y exécuter, ce qui déclencherait la chaîne d'infection.
Comment détecter une compromission liée à cette campagne ?
Recherchez des modifications récentes des clés de registre UAC, la présence de fichiers VBS dans les dossiers temporaires de WhatsApp Desktop, des connexions sortantes inhabituelles vers S3, Tencent Cloud ou Backblaze B2, et des packages MSI installés récemment sans source identifiée. Microsoft a publié des indicateurs de compromission spécifiques dans son bulletin d'alerte.
L'essentiel à retenir
Les messageries instantanées sont devenues un vecteur d'attaque de premier plan. Cette campagne démontre que WhatsApp, malgré le chiffrement de bout en bout, ne protège pas contre les fichiers malveillants envoyés par des contacts compromis. Le blocage de l'exécution de scripts au niveau système reste la meilleure défense.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
DarkSword : un exploit kit iOS cible WebKit et le kernel Apple
L'exploit kit DarkSword enchaîne trois CVE Apple pour déployer les spywares GHOSTBLADE, GHOSTKNIFE et GHOSTSABER. CISA exige le patch avant le 3 avril 2026.
TrueChaos : un APT chinois exploite TrueConf pour cibler des gouvernements
La campagne TrueChaos exploite une faille zero-day dans TrueConf (CVE-2026-3502) pour déployer le framework Havoc sur des réseaux gouvernementaux en Asie du Sud-Est. Attribution : acteur chinois.
Microsoft lance Copilot Wave 3 et Agent 365 pour l'ère agentique
Microsoft déploie Copilot Wave 3 avec des capacités agentiques dans Office et lance Agent 365, une plateforme de gouvernance des agents IA à 15 $/mois.
Commentaires (1)
Laisser un commentaire