Selon Trend Micro, 477 cas ont été détectés à ce jour, dont 457 au Brésil. Les victimes incluent des organisations gouvernementales, des services publics et des entreprises privées. Cette concentration explique pourquoi la campagne cible WhatsApp Web et incite les utilisateurs à ouvrir le fichier sur un ordinateur.

L’attaque débute par un message de phishing envoyé via WhatsApp par un contact déjà compromis, ce qui le rend crédible. Le message contient un fichier ZIP aux noms trompeurs, tels que :

• RES-20250930_112057.zip ;
• ORCAMENTO_114418.zip ;
• ou des noms évoquant des justificatifs de paiement, devis ou documents médicaux.

Trend Micro indique que des e-mails de phishing sont également utilisés comme vecteur initial, avec des pièces jointes ZIP portant des noms comme :

• COMPROVANTE_20251001_094031.zip ;
• ComprovanteSantander-75319981.682657420.zip ;
• NEW-20251001_133944-PED_1273E322.zip

Ces e-mails proviennent d’adresses semblant légitimes et utilisent des objets tels que « Document de Rafael B », « Zip » ou « Relevé » pour inciter à l’ouverture.

En ouvrant le fichier ZIP, la victime découvre un raccourci Windows (.LNK). En cliquant, celui-ci exécute une commande PowerShell qui télécharge le malware depuis des domaines contrôlés par les attaquants (ex. : sorvetenopotel[.]com).

Le malware détecte les sessions actives de WhatsApp Web et envoie automatiquement le fichier infecté à tous les contacts et groupes, provoquant une propagation massive et souvent la suspension des comptes pour spam.

Comment se protéger ?

• Désactiver les téléchargements automatiques sur WhatsApp.
• Bloquer le transfert de fichiers sur les appareils professionnels.
• Former les employés à ne pas ouvrir de pièces jointes suspectes, même venant de contacts connus.
• Utiliser des canaux sécurisés pour l’échange de documents professionnels.

Source : TECMUNDO ; 05/10/2025