Kaspersky Global Research and Analysis Team (GReAT) mengungkap malware yang menargetkan pengguna WhatsApp Desktop dan WhatsApp Web. Kampanye serangan siber ini mendistribusikan file VBScript berbahaya melalui pesan langsung di platform tersebut.
Korban disebut telah diidentifikasi di berbagai negara dan wilayah, termasuk Malaysia, Brasil, Singapura, Taiwan, dan Vietnam, dengan jumlah korban terbanyak yang diamati berada di Malaysia. Penggunaan berbagai bahasa dalam nama file juga menunjukkan penargetan regional yang luas, terutama di Eropa.
Kampanye ini terungkap pada Juni 2026 oleh Kaspersky Global Research and Analysis Team (GReAT). Menurut penelitian mereka, pelaku kejahatan siber menggunakan akun WhatsApp yang sebelumnya telah diretas untuk mendistribusikan lampiran berbahaya. Pesan dikirim dari kontak yang ada di akun tersebut, yang meningkatkan kemungkinan penerima akan melihat file terlampir. Setelah terinstal, malware memungkinkan akses jarak jauh ke sistem melalui kemampuan administratif standar yang ditujukan untuk penggunaan dukungan dan manajemen TI yang sah.
Komponen rekayasa sosial bergantung pada nama file yang dirancang agar menyerupai dokumen bisnis rutin. Contoh yang diamati termasuk faktur (invoice), laporan bank, laporan rekening, catatan pembayaran, dan pemberitahuan hutang. Nama file juga dilokalisasi ke dalam berbagai bahasa, termasuk Inggris, Portugis, Prancis, Jerman, dan Melayu, yang menunjukkan distribusi di berbagai wilayah bahasa. Selain itu, sampel VBScript tersebut berisi komentar dan metadata ekstensif yang dimaksudkan untuk meniru komponen Microsoft Windows Update yang sah.
“Dalam skema serangan ini, penyerang mengeksploitasi kepercayaan dalam platform perpesanan dengan menggunakan akun WhatsApp yang diretas untuk mengirimkan lampiran berbahaya yang tampaknya berasal dari kontak dikenal, membuat penerima cenderung untuk berinteraksi dengan mereka. Nama file disamarkan dengan cermat sebagai dokumen bisnis rutin, seperti faktur dan pemberitahuan pembayaran, dan dilokalisasi dalam berbagai bahasa untuk mendukung penargetan yang luas. Setelah dibuka, file tersebut memicu rantai infeksi bertahap yang secara diam-diam mengambil dan mengeksekusi komponen berbahaya tambahan dari infrastruktur eksternal,” kata Fareed Radzi, peneliti keamanan di Kaspersky GReAT.
Alur eksekusi lampiran mengikuti proses multi-tahap pada sistem yang terpengaruh. Setelah dibuka, file tersebut memicu urutan skrip pada perangkat. Skrip awal membuat direktori kerja di bawah C:\Users\Public\Documents\, kemudian mengambil file skrip tambahan dari infrastruktur eksternal dan mengeksekusinya menggunakan Windows Script Host. Skrip lanjutan ini melakukan tindakan sistem tambahan dan mengunduh arsip terkompresi dari infrastruktur yang sama. Arsip tersebut berisi paket instalasi untuk perangkat lunak pemantauan dan manajemen jarak jauh.
