Tout commence par un simple message WhatsApp contenant un fichier .vbs. Pour mémoire, VBScript est un langage de script intégré nativement à Windows, conçu pour automatiser des tâches courantes. Son exécution est rarement passée au crible par des solutions de sécurité traditionnelles. Une fois le fichier ouvert, la chaîne d’infection se déclenche sans autre action de la part de la victime.
Le script crée des dossiers cachés dans « C:\ProgramData ». Il y copie des utilitaires Windows parfaitement légaux, renommés pour passer inaperçus. : curl.exe, un utilitaire de téléchargement en ligne de commande, est rebaptisé « netapi.dll » ; bitsadmin.exe prend le nom de « sc.exe ». L’objectif est bien entendu de les rendre moins suspects au premier coup d’œil.
Ces outils détournés se connectent ensuite à des services cloud (AWS S3, Tencent Cloud, Backblaze B2) afin de récupérer des charges malveillantes supplémentaires. Depuis un pare-feu ou un système de surveillance réseau, le trafic ressemble à des échanges normaux. C’est ce que les chercheurs appellent le « living-off-the-land » : exploiter ce qui est déjà présent sur le système, plutôt qu’introduire des outils d’emblée suspects. Mi-mars, nous rapportions qu’une alerte avait été lancée en France sur les risques croissants liés aux messageries instantanées comme vecteurs d’attaque – cette campagne vient confirmer ce constat.