Les cyberattaques les plus efficaces ne reposent pas toujours sur des failles techniques sophistiquées. Souvent, elles exploitent un élément beaucoup plus simple : la confiance.

C’est précisément la stratégie mise en lumière par les chercheurs de Kaspersky, qui ont identifié une campagne de malware à grande échelle visant les utilisateurs de WhatsApp Desktop et WhatsApp Web. Les attaquants utilisent des comptes WhatsApp déjà compromis pour envoyer des fichiers malveillants directement aux contacts des victimes, profitant ainsi de la crédibilité d’un expéditeur familier.

Découverte en juin 2026 par l’équipe GReAT (Global Research and Analysis Team) de Kaspersky, l’opération touche plusieurs régions du monde et illustre une nouvelle fois la manière dont les plateformes de messagerie deviennent des vecteurs privilégiés de diffusion de logiciels malveillants.

Des documents professionnels qui cachent un piège

Selon les analyses de Kaspersky, les cybercriminels se servent de comptes WhatsApp piratés pour transmettre des pièces jointes qui semblent parfaitement légitimes.

Les fichiers sont présentés comme des documents administratifs ou financiers courants :

Factures.
Relevés bancaires.
États de compte.
Avis de paiement.
Notifications de dettes.

Pour renforcer leur crédibilité, les noms des fichiers sont adaptés à plusieurs langues, notamment l’anglais, le français, le portugais, l’allemand ou encore le malais.

Cette approche permet aux attaquants de cibler simultanément plusieurs régions géographiques tout en augmentant les chances que les destinataires ouvrent les pièces jointes sans méfiance.

Un malware dissimulé derrière un script Windows

Le danger se cache dans la nature même des fichiers envoyés. Les pièces jointes utilisent des scripts VBScript, une technologie intégrée à Windows qui permet d’automatiser certaines tâches système. Afin de tromper les utilisateurs et parfois certains outils de sécurité, les fichiers contiennent de nombreux commentaires et métadonnées imitant des composants légitimes de Windows Update.

Une fois exécuté, le script déclenche une chaîne d’infection en plusieurs étapes.

Le programme crée d’abord un répertoire de travail sur l’ordinateur ciblé, puis télécharge discrètement des scripts supplémentaires depuis des serveurs contrôlés par les attaquants.

Ces composants exécutent ensuite diverses opérations avant de récupérer une archive compressée contenant un logiciel de gestion à distance.

Une prise de contrôle déguisée en outil d’administration

L’une des particularités de cette campagne réside dans l’utilisation de logiciels RMM (Remote Monitoring and Management). Ces outils sont normalement employés par les équipes informatiques pour administrer des ordinateurs à distance dans un cadre professionnel. Entre les mains d’un attaquant, ils deviennent toutefois un moyen extrêmement efficace d’obtenir un accès persistant à une machine compromise.

En s’appuyant sur des logiciels légitimes plutôt que sur des malwares traditionnels, les cybercriminels réduisent parfois les risques de détection et compliquent l’analyse des incidents.

Cette technique s’inscrit dans une tendance croissante observée dans le monde de la cybersécurité : l’utilisation d’outils autorisés à des fins malveillantes, une approche souvent qualifiée de « living off the land ».

Plusieurs pays touchés

Les chercheurs de Kaspersky ont identifié des victimes dans différents pays et territoires. La Malaisie apparaît actuellement comme le pays le plus affecté, mais la campagne ne se limite pas à cette région.

Des cas ont également été observés dans le Brésil, Singapour, Taïwan et le Vietnam. La présence de fichiers traduits dans plusieurs langues européennes laisse également penser que les attaquants cherchent à élargir progressivement leur portée géographique.

Pourquoi cette attaque est particulièrement efficace ?

Le potentiel succès de cette campagne repose sur un mécanisme psychologique bien connu : la confiance accordée aux contacts existants. Contrairement aux campagnes de phishing traditionnelles envoyées depuis des adresses inconnues, ces messages proviennent de personnes réelles déjà présentes dans les conversations WhatsApp des victimes.

Pour l’utilisateur, rien ne semble inhabituel. Le message arrive d’un collègue, d’un client ou d’un proche, accompagné d’un document qui paraît cohérent avec une activité professionnelle ou administrative normale.

Cette combinaison réduit considérablement les réflexes de méfiance qui pourraient habituellement empêcher l’ouverture du fichier.

Les recommandations de Kaspersky

Face à cette campagne, les experts recommandent une vigilance renforcée, même lorsque les fichiers proviennent de contacts connus. Kaspersky conseille notamment de se méfier des pièces jointes inattendues reçues sur WhatsApp, de vérifier directement auprès de l’expéditeur avant d’ouvrir un document suspect, et d’éviter l’exécution de fichiers script ou exécutables tels que. vbs,. vbe, .exe, .bat,. cmd, .js,. ps1, et d’utiliser une solution de sécurité capable d’identifier les comportements malveillants.

Une nouvelle illustration des risques liés aux messageries

Cette campagne rappelle que les plateformes de messagerie instantanée sont devenues des cibles privilégiées pour les cybercriminels. À mesure que les utilisateurs déplacent leurs échanges professionnels et personnels vers ces services, les attaquants adaptent leurs méthodes pour exploiter les mécanismes de confiance qui en font le succès.

La sophistication technique n’est plus toujours nécessaire. Dans de nombreux cas, il suffit qu’un contact connu envoie un document apparemment banal pour contourner les défenses les plus élémentaires.

Dans un environnement numérique où les frontières entre communication privée et activité professionnelle deviennent de plus en plus floues, la prudence reste aujourd’hui la meilleure protection contre ce type d’attaque.

Apple lancerait bientôt un iPad mini OLED : la production des écrans aurait commencé

Microsoft augmente fortement le prix des Xbox : une crise historique de la mémoire bouleverse toute l’industrie

Tout savoir sur Notion : le guide complet de l’outil tout-en-un

Apple préparerait un bouleversement majeur de ses puces M6 et M7 : une stratégie centrée sur l’IA

Test de la HUAWEI Watch Fit 5 Pro : l’Apple Watch de ceux qui ne veulent pas d’Apple Watch

Test de la HUAWEI Watch GT Runner 2 : La montre qui veut détrôner Garmin

Test du DJI ROMO P : DJI réussit-il son premier robot aspirateur haut de gamme ?

Test de NotebookLM : L’application de Google est-elle le copilot IA rêvé ?

Google Finance sort de bêta sur Android : Gemini transforme le suivi des marchés financiers

Google Wallet devient compatible avec TSA PreCheck Touchless ID et devance Apple

Google Play bouleverse les paiements Android : ce qui va changer pour les utilisateurs et les développeurs

Galaxy Watch Ultra 2 : les nouveaux rendus révèlent un design presque inchangé

Meta suspend un programme de surveillance interne après une fuite massive de données d’employés

Microsoft transforme Excel en assistant financier intelligent grâce à une importante mise à jour de Copilot

Anthropic récupère partiellement l’accès à Mythos 5 : les États-Unis assouplissent leurs restrictions sur son IA

OpenAI dévoile GPT-5.6, mais son modèle le plus avancé démarre sous contrôle gouvernemental