Para peneliti keamanan siber baru-baru ini mendeteksi kampanye serangan phishing yang menyasar pengguna WhatsApp secara global. Serangan ini memanfaatkan akun kontak yang sudah dikenal oleh korban untuk menyebarkan skrip berbahaya. Melalui teknik rekayasa sosial, pelaku menyebarkan file VBScript yang menyamar sebagai dokumen penting, yang jika dijalankan akan memicu rangkaian infeksi pada sistem operasi Windows.
Proses infeksi dimulai ketika Windows Script Host mengeksekusi VBScript tersebut. Skrip ini kemudian berfungsi sebagai pintu masuk untuk mengunduh muatan sekunder dari infrastruktur yang dikendalikan oleh peretas. Salah satu muatan utama dalam serangan ini dirancang untuk melemahkan pertahanan sistem dengan memodifikasi Windows Registry, yang bertujuan untuk melewati peringatan User Account Control (UAC) tanpa sepengetahuan pengguna.
Setelah berhasil melewati mekanisme keamanan tersebut, malware akan menginstal agen ManageEngine Endpoint Central secara diam-diam. Penggunaan alat manajemen jarak jauh (RMM) yang sah ini memberikan akses administratif permanen kepada pelaku ancaman. Dengan akses ini, penyerang dapat mengendalikan komputer korban dari jarak jauh, mencuri data sensitif, atau melakukan aktivitas berbahaya lainnya di dalam jaringan perusahaan maupun pribadi.
Berdasarkan data observasi, tingkat infeksi tertinggi saat ini tercatat di Malaysia, namun kampanye ini juga telah meluas ke berbagai negara lainnya, termasuk India, Brasil, dan Inggris. Meskipun metode awal bagaimana akun WhatsApp korban dapat dikuasai oleh peretas masih belum terungkap sepenuhnya, para peneliti menemukan adanya komentar berbahasa Mandarin di dalam skrip tersebut. Hal ini mengindikasikan kemungkinan adanya keterkaitan dengan kelompok penjahat siber tertentu.
Infrastruktur yang digunakan dalam serangan ini juga menunjukkan tumpang tindih dengan keluarga Remote Access Trojan (RAT) yang sudah dikenal luas di dunia keamanan siber. Hal ini menandakan bahwa pelaku memiliki kapabilitas teknis yang mumpuni dalam membangun rantai serangan yang kompleks dan sulit dideteksi oleh perangkat lunak antivirus standar jika tidak dikonfigurasi dengan ketat.
Sebagai langkah mitigasi, para administrator sistem dan pengguna umum disarankan untuk selalu waspada terhadap file yang dikirimkan melalui aplikasi pesan instan, meskipun berasal dari kontak tepercaya. Tim IT perusahaan harus memantau adanya aktivitas proses yang tidak lazim, terutama jika proses latar belakang WhatsApp secara tiba-tiba memicu eksekusi Windows script engine, yang merupakan indikator kuat adanya upaya kompromi sistem.