Selon Gen, une nouvelle campagne baptisée « GhostPairing » exploite les mécanismes légitimes de jumelage d’appareils WhatsApp pour réaliser une prise de contrôle de compte sans mot de passe, en s’appuyant sur de l’ingénierie sociale et des pages factices de type Facebook.

Les victimes reçoivent, depuis des contacts compromis, un court message mentionnant une « photo » avec un lien affiché comme un aperçu Facebook. La page d’atterrissage imite un « viewer » Facebook et sert en réalité de panneau de contrôle de l’attaquant, qui proxifie le flux de jumelage WhatsApp. La variante la plus utilisée abuse de l’option officielle « lier un appareil via le numéro de téléphone et un code numérique de jumelage » (la variante QR, techniquement possible, est rarement pratique sur un seul appareil). L’utilisateur saisit son numéro, le site de l’attaquant génère puis affiche le code et l’incite à le saisir dans WhatsApp pour « vérifier »; une fois validé, le navigateur de l’attaquant devient un appareil lié au compte de la victime 📱.

Une fois lié, l’attaquant dispose des mêmes capacités que WhatsApp Web: lecture (historique synchronisé et nouveaux messages), téléchargement de médias, envoi/renvoi de messages et collecte d’informations sensibles (adresses, codes, liens…). L’accès est persistant tant que l’appareil n’est pas révoqué manuellement dans Paramètres > Appareils liés, ce qui rend la compromission discrète et durable, et facilite la propagation du leurre vers les contacts et groupes de la victime.

L’infrastructure observée renvoie à un kit réutilisable: mêmes gabarits de pages imitant Facebook, déploiement sur des domaines lookalike orientés « photos/posts » et chemins trompeurs (ex. /login/post.com). La campagne a été repérée initialement en Tchéquie, mais le modèle est agnostique à la langue, et repose sur la confiance entre contacts pour s’étendre.

IOC(s) et TTP(s)

  • IOC — domaines:
    • photobox[.]life
    • postsphoto[.]life
    • yourphoto[.]life
    • photopost[.]live
    • yourphoto[.]world
    • top-foto[.]life
    • fotoface[.]top
  • TTP — techniques:
    • Leurre minimaliste depuis comptes compromis (« j’ai trouvé ta photo ») avec aperçu façon Facebook 🪝
    • Page factice qui proxifie l’endpoint de jumelage WhatsApp et affiche un code numérique à saisir dans l’app
    • Abus du jumelage via numéro + code (préféré au QR) pour lier le navigateur de l’attaquant comme appareil
    • Persistance via appareils liés peu visibles; propagation par envoi massif du leurre aux contacts
    • Comportement de kit: gabarits réutilisés, domaines facilement remplaçables

Il s’agit d’une analyse de menace visant à documenter une campagne d’ingénierie sociale exploitant des fonctionnalités légitimes de WhatsApp afin d’obtenir un accès persistant aux comptes.

🧠 TTPs et IOCs détectés

TTP

[‘Leurre minimaliste depuis comptes compromis (« j’ai trouvé ta photo ») avec aperçu façon Facebook 🪝’, ‘Page factice qui proxifie l’endpoint de jumelage WhatsApp et affiche un code numérique à saisir dans l’app’, ‘Abus du jumelage via numéro + code (préféré au QR) pour lier le navigateur de l’attaquant comme appareil’, ‘Persistance via appareils liés peu visibles; propagation par envoi massif du leurre aux contacts’, ‘Comportement de kit: gabarits réutilisés, domaines facilement remplaçables’]

IOC

[‘photobox[.]life’, ‘postsphoto[.]life’, ‘yourphoto[.]life’, ‘photopost[.]live’, ‘yourphoto[.]world’, ’top-foto[.]life’, ‘fotoface[.]top’]

🔗 Source originale : https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack