Penerima pesan WhatsApp kini perlu lebih berhati-hati saat membuka lampiran, terutama jika file datang dari akun yang terlihat dikenal. Kampanye malware yang dibongkar Kaspersky memanfaatkan WhatsApp Desktop dan WhatsApp Web untuk menyebarkan skrip berbahaya lewat akun yang lebih dulu diretas.
Skemanya sederhana tetapi efektif. Setelah akun WhatsApp dikuasai, pelaku mengirim file palsu ke daftar kontak agar pesan tampak meyakinkan dan korban terdorong membuka lampiran tanpa curiga.
Akun yang diretas dipakai untuk menipu kontak terdekat
Kaspersky Global Research and Analysis Team menemukan pola serangan ini pada Juni 2026. Korban terdeteksi di Brasil, Singapura, Taiwan, Vietnam, dan Malaysia, dengan Malaysia mencatat jumlah korban paling banyak.
Nama file yang dipakai juga dibuat sangat umum agar terlihat aman. Pelaku meniru dokumen yang sering dianggap biasa, seperti invoice, laporan resmi bank, catatan bukti pembayaran, dan surat pemberitahuan tunggakan hutang.
Serangan ini tidak berhenti di satu wilayah saja. Nama file dalam berbagai bahasa menunjukkan upaya yang lebih luas, termasuk target di Eropa.
| Lokasi Terdeteksi | Temuan Utama |
|---|---|
| Brasil | Termasuk negara dengan korban terdeteksi |
| Singapura | Termasuk negara dengan korban terdeteksi |
| Taiwan | Termasuk negara dengan korban terdeteksi |
| Vietnam | Termasuk negara dengan korban terdeteksi |
| Malaysia | Jumlah korban paling banyak |
VBScript berbahaya disamarkan sebagai pembaruan Windows
Di balik tampilan file yang biasa, tersembunyi skrip VBScript berbahaya. Pelaku menambahkan komentar dan metadata palsu agar sistem keamanan komputer mengira file itu sebagai komponen resmi dari Microsoft Windows Update.
Fareed Radzi, peneliti keamanan senior di Kaspersky GReAT, menjelaskan bahwa serangan ini sangat bergantung pada manipulasi psikologis. Begitu korban membuka file palsu tersebut, infeksi berjalan bertahap di latar belakang tanpa disadari.
Tahap awalnya membuat folder kerja rahasia di direktori komputer korban. Setelah itu, skrip memakai Windows Script Host untuk mengambil file tambahan dari server eksternal milik peretas.
Rantai infeksi kemudian berlanjut ke pengunduhan arsip terkompresi yang berisi paket instalasi perangkat lunak pemantauan dan manajemen jarak jauh. Saat perangkat lunak itu aktif, pelaku berpotensi mendapat akses administratif penuh ke komputer korban.
| Jenis Lampiran | Modus Penyamaran | Dampak |
|---|---|---|
| Invoice, laporan bank, bukti pembayaran, surat tunggakan | Tampak seperti dokumen harian yang aman | Memancing korban membuka file |
| VBScript | Disamarkan sebagai pembaruan Windows | Memulai infeksi bertahap di perangkat |
Langkah aman saat menerima file di WhatsApp
Kaspersky menyarankan pengguna untuk tetap kritis terhadap lampiran tak terduga, bahkan jika pengirimnya teman dekat, rekan kerja, atau keluarga. Verifikasi langsung melalui saluran lain, misalnya dengan menelepon, menjadi langkah penting sebelum membuka file.
Pengguna juga diminta mewaspadai ekstensi yang rentan, seperti .vbs, .vbe, .exe, .bat, .cmd, .js, dan .ps1. Perlindungan tambahan di perangkat komputer maupun seluler juga dianjurkan agar aktivitas mencurigakan bisa terdeteksi lebih awal.
Model serangan ini memanfaatkan kepercayaan antar kontak untuk membuka pintu masuk ke perangkat korban. Karena itu, setiap dokumen yang dikirim lewat WhatsApp tetap perlu diperiksa dengan hati-hati, meski pengirimnya terlihat sangat familiar.
