Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Microsoft Warns of WhatsApp-Delivered VBS Malware Hijacking Windows via UAC Bypass

1 minute de lecture

Mis à jour :

Campagne de malwares via WhatsApp : détournement d’UAC et persistance sur Windows

Une nouvelle campagne de cyberattaques, active depuis fin février 2026, utilise WhatsApp pour diffuser des scripts Visual Basic (VBS) malveillants. Les attaquants exploitent des techniques de “Living-off-the-Land” (utilisation d’outils légitimes détournés) pour infecter les systèmes Windows.

Points clés :

  • Vecteur d’attaque : Distribution de fichiers VBS via WhatsApp.
  • Techniques de dissimulation : Utilisation d’utilitaires Windows légitimes renommés (ex: curl.exe en netapi.dll, bitsadmin.exe en sc.exe) pour éviter la détection.
  • Infrastructure : Hébergement des charges utiles secondaires sur des services cloud légitimes tels qu’AWS S3, Tencent Cloud et Backblaze B2.
  • Objectif : Établir une persistance sur la machine, escalader les privilèges et installer des outils d’accès à distance (comme AnyDesk) pour exfiltrer des données ou déployer des malwares supplémentaires.

Vulnérabilités exploitées :

  • Contournement de l’UAC (User Account Control) : L’attaque manipule les entrées du Registre (sous HKLM\Software\Microsoft\Win) et tente d’exécuter cmd.exe avec des privilèges élevés de manière répétée jusqu’au succès de l’élévation. Aucun identifiant CVE spécifique n’est mentionné, car la technique repose sur le détournement des mécanismes de sécurité natifs de Windows.

Recommandations :

  • Vigilance accrue : Sensibiliser les utilisateurs à la méfiance vis-à-vis des fichiers suspects reçus via des applications de messagerie comme WhatsApp.
  • Surveillance des logs : Surveiller l’exécution inhabituelle d’utilitaires système renommés ou placés dans des répertoires non standards comme C:\ProgramData.
  • Durcissement de la configuration : Restreindre l’exécution de scripts VBS et limiter les privilèges des utilisateurs.
  • Analyse comportementale : Utiliser des solutions EDR pour détecter les tentatives répétées de modification du Registre liées à l’UAC ou les processus suspects tentant d’obtenir des élévations de privilèges forcées.

Source

Vous pourriez aimer