Campagne malveillante via WhatsApp : scripts VBS et backdoors MSI en plusieurs étapes
🔍 Contexte Cette analyse technique a été publiée le 31 mars 2026 par la Microsoft Defender Security Research Team. Elle documente une campagne active observée depuis fin février 2026, exploitant WhatsApp comme vecteur de distribution de fichiers VBScript (VBS) malveillants. 🎯 Chaîne d’infection La campagne se déroule en quatre étapes distinctes : Étape 1 – Accès initial : Des fichiers VBS sont envoyés via WhatsApp. Une fois exécutés, ils créent des dossiers cachés dans C:\ProgramData et y déposent des utilitaires Windows légitimes renommés (curl.exe → netapi.dll, bitsadmin.exe → sc.exe) pour se fondre dans l’environnement système. Étape 2 – Récupération de payloads : Les binaires renommés téléchargent des droppers secondaires (auxs.vbs, WinUpdate_KB5034231.vbs, 2009.vbs) depuis des services cloud légitimes (AWS S3, Tencent Cloud, Backblaze B2), dans un dossier caché C:\ProgramData\EDS8738. Étape 3 – Élévation de privilèges et persistance : Le malware tente de contourner l’UAC en lançant cmd.exe avec des privilèges élevés, modifie la valeur de registre ConsentPromptBehaviorAdmin sous HKLM\Software\Microsoft\Win, et installe des mécanismes de persistance survivant aux redémarrages. Étape 4 – Payload final : Des installeurs MSI non signés sont déployés (Setup.msi, WinRAR.msi, LinkPoint.msi, AnyDesk.msi), permettant un accès distant persistant aux systèmes compromis. 🛠️ Techniques notables Living-off-the-land (LOLBAS) : utilisation de curl.exe et bitsadmin.exe renommés Hébergement cloud : payloads hébergés sur AWS S3, Tencent Cloud, Backblaze B2 Bypass UAC via modification du registre Discordance PE metadata : les binaires renommés conservent leur champ OriginalFileName d’origine, exploitable comme signal de détection 📡 Infrastructure C2 Deux domaines de commande et contrôle ont été identifiés : neescil.top et velthora.top. ...