Security

WhatsApp Malware Campaign Uses VBS and MSI Backdoors

3 min de lecture

Résumé

Les experts Microsoft Defender ont mis au jour campagne de fin février 2026 qui utilise des messages WhatsApp pour diffuser des fichiers VBS malveillants, puis installe des packages MSI non signés pour la persistance et l’accès à distance. L’attaque combine ingénierie sociale, utilitaires Windows renommés et services cloud fiables pour échapper à la détection, rendant essentiels les contrôles des endpoints et la sensibilisation des utilisateurs.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a publié des détails sur une campagne malware sophistiquée qui commence par des fichiers VBS diffusés via WhatsApp et se termine par un accès à distance persistant au moyen d’installateurs MSI malveillants. Pour les équipes IT et sécurité, cela compte car les attaquants abusent d’outils Windows légitimes et de plateformes cloud de confiance, ce qui rend l’activité plus difficile à distinguer du trafic d’entreprise normal.

Ce qui est nouveau dans cette campagne

Microsoft Defender Experts a observé le début de la campagne fin février 2026. La chaîne d’attaque comprend plusieurs étapes conçues pour échapper à la détection et conserver un accès à long terme :

  • Accès initial via WhatsApp : Les attaquants envoient des fichiers .vbs malveillants via des messages WhatsApp, en s’appuyant sur la confiance des utilisateurs envers des applications de communication familières.
  • Utilisation d’outils Windows renommés : Les scripts copient des utilitaires légitimes comme curl.exe et bitsadmin.exe, puis les renomment avec des noms trompeurs comme netapi.dll et sc.exe.
  • Livraison de charges utiles depuis des services cloud de confiance : Des charges utiles secondaires sont téléchargées depuis des services tels que AWS S3, Tencent Cloud et Backblaze B2.
  • Élévation de privilèges et persistance : Le malware modifie des paramètres de registre liés à l’UAC et tente à plusieurs reprises d’exécuter des commandes avec élévation.
  • Portes dérobées MSI en phase finale : Des fichiers MSI non signés tels que Setup.msi, WinRAR.msi, LinkPoint.msi et AnyDesk.msi sont utilisés pour établir un accès à distance.

Pourquoi c’est important

Cette campagne combine plusieurs tendances que les défenseurs observent de plus en plus souvent :

  • Techniques living-off-the-land utilisant des binaires Windows natifs
  • Livraison de malware hébergé dans le cloud qui se fond dans le trafic légitime
  • Ingénierie sociale via des plateformes de messagerie grand public
  • Persistance via des installateurs MSI qui peuvent sembler routiniers dans des environnements gérés

Une opportunité de détection notable est l’incohérence entre le nom réel d’un fichier et ses métadonnées PE OriginalFileName intégrées. Les outils de sécurité qui inspectent ces métadonnées peuvent être capables de signaler plus efficacement les binaires renommés.

Impact pour les administrateurs IT

Les équipes sécurité et endpoint doivent partir du principe qu’un blocage par type de fichier seul ne suffit pas. La campagne peut contourner une inspection superficielle en utilisant des dossiers cachés, des sources de téléchargement fiables et des outils d’administration légitimes.

Les organisations qui utilisent Microsoft Defender doivent porter une attention particulière à :

  • L’activité des hôtes de script depuis des chemins non fiables (wscript, cscript, mshta)
  • Les modifications du registre liées au comportement de l’UAC
  • L’exécution de MSI non signés
  • Les connexions réseau vers du stockage d’objets cloud utilisé pour le staging des charges utiles
  • Les détections endpoint liées à des binaires renommés et à des indicateurs de ligne de commande suspects

Prochaines étapes recommandées

  • Restreindre l’exécution des scripts dans les emplacements non fiables lorsque cela est possible.
  • Activer la protection cloud-delivered dans Microsoft Defender Antivirus.
  • Exécuter Defender for Endpoint EDR en mode blocage pour arrêter les artefacts manqués par d’autres contrôles.
  • Surveiller le trafic cloud à la recherche de téléchargements suspects depuis AWS, Tencent Cloud et Backblaze B2.
  • Former les utilisateurs à ne pas ouvrir de pièces jointes WhatsApp inattendues, même si elles semblent provenir de contacts de confiance.

Cette campagne rappelle que des applications de confiance, des outils légitimes et des services cloud courants peuvent tous être détournés à des fins malveillantes. Les défenseurs doivent combiner télémétrie endpoint, inspection du trafic cloud et sensibilisation des utilisateurs pour réduire l’exposition.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
WhatsApp malwareVBSMSI backdoorMicrosoft Defenderthreat detection

Articles connexes

Security

Microsoft Copilot Studio face aux risques OWASP IA agentique

Microsoft explique comment Copilot Studio et la disponibilité générale prochaine d’Agent 365 peuvent aider les organisations à traiter le Top 10 OWASP des applications agentiques. Ces recommandations sont importantes, car les systèmes d’IA agentique peuvent utiliser de véritables identités, données et outils, créant des risques de sécurité bien au-delà de simples réponses inexactes.

Security

{{Protection HVA Microsoft Defender contre attaques}}

Microsoft a expliqué comment Microsoft Defender utilise la connaissance des actifs à forte valeur pour détecter et bloquer les attaques visant les contrôleurs de domaine, les serveurs web et l’infrastructure d’identité. En combinant le contexte de Security Exposure Management avec des détections différenciées et une interruption automatisée, Defender peut renforcer les niveaux de protection des actifs Tier-0 et réduire l’impact des intrusions sophistiquées.

Security

Sécurité des identités Microsoft Entra : nouveautés RSAC 2026

Microsoft positionne la sécurité des identités comme un plan de contrôle unifié qui combine l’infrastructure d’identité, les décisions d’accès et la protection contre les menaces en temps réel. Lors de la RSAC 2026, l’entreprise a annoncé de nouvelles capacités Microsoft Entra et Defender, notamment un tableau de bord de sécurité des identités, un score de risque unifié des identités et une remédiation adaptative du risque pour aider les organisations à réduire la fragmentation et à réagir plus rapidement aux attaques basées sur l’identité.

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.