Des millions d’utilisateurs de WhatsApp sont aujourd’hui la cible de tentatives de fraude. Les malfrats ont en effet trouvé des moyens de contourner les protections numériques. Cette fois-ci, ils utilisent l’application de messagerie pour infiltrer les utilisateurs sur PC. Cela leur permet d’espionner leurs victimes et de dérober des informations sensibles, ainsi que de l’argent.

Les chercheurs en sécurité d’Acronis ont découvert une nouvelle campagne de piratage ciblant les utilisateurs de WhatsApp Web. Cette campagne, connue sous le nom de Boto Cor de Rosa et originaire du Brésil, déploie des logiciels malveillants liés au célèbre cheval de Troie bancaire Astaroth.

Un cheval de Troie qui converse comme un humain

Cette attaque débute par un message au ton amical ou familier qui semble provenir de l’un de vos contacts existants. Ces messages contiennent souvent des formules de politesse courantes telles que « Voici le fichier demandé. Si vous avez des questions, je reste à votre disposition ! ». Le message s’accompagne d’un fichier ZIP qui, une fois ouvert, ressemble à un document standard.

À l’insu de l’utilisateur, la tentative d’ouverture du PDF ou du document contenu dans le fichier ZIP déclenche un script initial. Ce script utilise des techniques de camouflage avancées, ce qui le rend extrêmement difficile à détecter par le système d’exploitation Windows. Il est ensuite utilisé pour télécharger et installer deux composants malveillants qui préparent le système à l’envoi du malware Astaroth.

WhatsApp Web banking malware chat
Le logiciel malveillant bancaire utilise des conversations qui paraissent naturelles pour tromper les utilisateurs. Il inclut également un fichier ZIP en pièce jointe qui contient le document PDF contaminé par le virus. Source de l'image : Acronis

Astaroth constitue l’étape finale de l’attaque. C’est lui qui exécute le vol d’informations d’identification et d’autres informations sensibles. Il est spécialement conçu pour accéder aux données financières, que les attaquants utilisent ensuite pour détourner des fonds de vos comptes.

Pourquoi ce logiciel malveillant est particulièrement dangereux

Ce qui rend cette campagne de piratage particulièrement inquiétante, c’est la connexion entre WhatsApp Web et l’application mobile. Ces comptes étant synchronisés, les malfaiteurs peuvent utiliser la version Web pour accéder aux messages, aux fichiers et aux listes de contacts.

Outre l’installation du cheval de Troie bancaire, le script exécute un module de suivi et de surveillance spécifique à WhatsApp. Ce module est utilisé pour extraire des contacts et des informations personnelles. Le système est automatisé et diffuse donc ainsi le fichier dangereux à d’autres utilisateurs. La fonction de suivi permet même au logiciel malveillant de savoir combien de messages ont été transmis avec succès, ce qui donne aux attaquants un aperçu en temps réel de la manière dont l’infection se propage.

Comme le décrit l’équipe de sécurité, cette conception permet au logiciel malveillant de s’autogérer sans révéler sa présence ni être détecté par l’utilisateur. Avec une telle méthode de propagation virale, la campagne Boto Cor de Rosa constitue donc une menace alarmante.

Comment rester en sécurité sur Internet

Bien qu’il n’existe actuellement aucun rapport faisant état d’une exploitation à grande échelle réussie à l’aide de ces vulnérabilités spécifiques, nous recommandons aux utilisateurs d’être prudents et proactifs.

L’une des mesures les plus efficaces consiste à éviter d’ouvrir ou d’interagir avec des fichiers joints. Cela concerne même ceux qui proviennent d’un contact connu. Nous vous conseillons également d’activer des outils d’authentification plus forts lors de la connexion à WhatsApp Web. Vous devriez également envisager de déconnecter la session Web de votre application mobile si vous ne l’utilisez pas.

Pour ce qui est de l’ordinateur, veillez toujours à ce que votre système d’exploitation Windows et votre logiciel de sécurité restent à jour avec les versions les plus récentes. Si nécessaire, vous pouvez également installer une application antivirus dédiée pour une couche de protection supplémentaire.

Connaissez-vous d’autres moyens de protéger vos informations personnelles et financières sur internet ? Faites-nous part de vos suggestions ci-dessous.

Nous affichons ce symbole sur les liens vers des sites partenaires. Si vous cliquez sur l’un de ces liens ou boutons, ou si vous effectuez un achat par le biais de ceux-ci, nous avons la possibilité d’obtenir une commission en retour de la part du détaillant. Ceci n’affecte pas le prix que vous payez mais permet de faire en sorte que nextpit reste gratuit pour tout le monde. Merci pour votre soutien !