Une nouvelle campagne de cyberattaques alerte les utilisateurs de WhatsApp Web depuis quelques semaines. Cette fois, le vecteur est un simple fichier ZIP envoyé via la messagerie instantanée, mais son impact peut être dévastateur. Les experts en cybersécurité préviennent que ce malware, nommé Astaroth, est capable de voler des informations financières et personnelles tout en se propageant automatiquement auprès des contacts de la victime.
Leur mode opératoire
Tout commence par un message apparemment inoffensif. Un contact envoie un fichier ZIP dont le nom semble aléatoire et anodin, ce qui diminue la suspicion de l’utilisateur. À l’intérieur du fichier se cache un script Visual Basic déguisé en document normal. Si l’utilisateur l’exécute, le script télécharge silencieusement deux autres malwares.
L’un est Astaroth, un malware bancaire développé en Delphi, tandis que l’autre est un module basé sur Python, conçu pour prendre le contrôle de WhatsApp Web. Les deux composants s’exécutent en arrière-plan sans aucun signe visible pour l’utilisateur. Une fois activé, le malware devient autonome et commence à se propager.
Une diffusion rapide
Ce qui rend cette campagne particulièrement inquiétante, c’est sa capacité de diffusion rapide. Le module Python scanne automatiquement la liste de contacts WhatsApp de la victime et envoie le fichier ZIP malveillant à toutes les conversations. Les chercheurs d’Acronis ont remarqué que le malware adapte ses messages en fonction de l’heure de la journée, envoyant des salutations amicales qui rendent le message crédible. Un exemple de message : « Voici le fichier demandé. Si vous avez des questions, je suis disponible ! » Cette apparence de normalité encourage de nombreux utilisateurs à ouvrir le fichier sans méfiance, ce qui amplifie la propagation.
Le malware est également conçu pour surveiller sa propre efficacité en temps réel. L’outil de propagation enregistre le nombre de messages délivrés avec succès, ceux qui échouent, ainsi que la vitesse d’envoi par minute. Après chaque série de 50 messages, il génère un rapport indiquant le nombre de contacts atteints. Ces informations permettent aux attaquants de mesurer rapidement le succès de leur campagne et d’ajuster leur stratégie en conséquence.
Pour échapper à la détection des antivirus, le script initial est fortement obfusqué. Une fois lancé, il exécute des commandes PowerShell qui téléchargent d’autres logiciels malveillants depuis des sites compromis, dont le domaine coffe-estilo.com. Le malware s’installe dans un répertoire imitant le cache de Microsoft Edge et contient des fichiers exécutables et bibliothèques nécessaires au fonctionnement complet du malware bancaire Astaroth. Il peut ainsi voler des identifiants, surveiller l’activité de l’utilisateur et accéder potentiellement aux comptes financiers.
Whatsapp web, particulièrement vulnérable
WhatsApp Web, qui permet de synchroniser les conversations d’un téléphone sur un ordinateur, est particulièrement vulnérable dans ce contexte. Une fois connecté via un code QR, le navigateur devient une extension de confiance du compte, affichant les conversations et envoyant des messages depuis le numéro réel de l’utilisateur. C’est cette confiance implicite que les attaquants exploitent pour diffuser des fichiers malveillants de manière indétectable.
Pour se protéger, les experts recommandent plusieurs mesures simples mais efficaces. Il faut éviter d’ouvrir les fichiers ZIP reçus par messagerie sans confirmation préalable, se méfier des noms de fichiers aléatoires, et prendre le temps de vérifier les messages suspects. Les utilisateurs doivent également vérifier les sessions actives de WhatsApp Web et se déconnecter des sessions inconnues, éviter de rester connecté sur des ordinateurs partagés, et activer l’authentification à deux facteurs.
Mettre régulièrement à jour les systèmes et navigateurs
La mise à jour régulière des systèmes et navigateurs est essentielle pour réduire le risque d’infection. Les antivirus puissants capables de détecter l’activité suspecte de scripts et PowerShell offrent une protection supplémentaire. Les services de surveillance financière et de protection contre le vol d’identité peuvent également alerter en cas d’utilisation frauduleuse des données personnelles.
Cette campagne de malware rappelle que les cyberattaques évoluent pour se fondre dans la vie quotidienne. Des messages ordinaires, envoyés par des contacts connus, peuvent devenir des vecteurs de vol d’identité et de fraude bancaire. Un simple clic sur un fichier infecté peut suffire à compromettre non seulement un appareil, mais l’ensemble du réseau de contacts de la victime. Vigilance, vérification et bonnes pratiques numériques restent les meilleurs remparts contre ces menaces silencieuses mais puissantes.
