Kampanye malware baru menarget pengguna WhatsApp Desktop dan WhatsApp Web dengan cara yang terasa sangat biasa, tetapi berbahaya. Pesan yang terlihat seperti invoice, laporan bank, atau catatan pembayaran ternyata bisa membawa skrip berbahaya yang siap aktif begitu dibuka.
Ancaman ini makin sulit dikenali karena dikirim dari akun WhatsApp yang sudah diretas lebih dulu. Saat lampiran datang dari kontak yang dikenal, banyak pengguna cenderung lengah dan membuka file tanpa curiga.
Meniru dokumen bisnis yang sering dipercaya
Kaspersky mengungkap kampanye berskala besar ini dan menyebut penyebarannya telah menjangkau Malaysia, Brazil, Singapore, Taiwan, dan Vietnam. Korban terbanyak dilaporkan berada di Malaysia, sementara temuan di lapangan terpantau oleh tim Global Research and Analysis Team atau GReAT pada Juni 2026.
Pelaku sengaja memilih nama file yang umum ditemui dalam aktivitas kerja sehari-hari. Label yang ditemukan mencakup invoice, laporan bank, laporan rekening, catatan pembayaran, dan surat pemberitahuan utang.
Pola penamaannya juga dibuat lintas bahasa, termasuk Inggris, Portugis, Prancis, Jerman, dan Melayu. Cara ini menunjukkan bahwa target kampanye tidak dibatasi pada satu negara atau satu lingkungan kerja saja.
| Negara Terdeteksi | Catatan | Keterangan |
|---|---|---|
| Malaysia | Korban terbanyak | Teridentifikasi dalam kampanye yang sama |
| Brazil | Terdeteksi | Termasuk negara yang terdampak |
| Singapore | Terdeteksi | Termasuk negara yang terdampak |
| Taiwan | Terdeteksi | Termasuk negara yang terdampak |
| Vietnam | Terdeteksi | Termasuk negara yang terdampak |
Skrip awal membuka jalan ke serangan bertahap
Begitu file berbahaya dibuka, malware memulai serangan multi-tahap tanpa banyak tanda terlihat. Skrip awal akan membuat direktori kerja di Windows, tepatnya di folder C:UsersPublicDocuments.
Setelah itu, skrip mengunduh file tambahan dari server eksternal dan mengeksekusinya lewat Windows Script Host. Tahap berikutnya melibatkan arsip terkompresi yang berisi perangkat lunak pemantauan serta manajemen jarak jauh.
Rangkaian ini dirancang agar berjalan diam-diam dan memberi peluang bagi pelaku untuk menguasai perangkat korban. Bahaya utamanya ada pada akses administratif jarak jauh yang bisa digunakan untuk memantau aktivitas, mengambil data sensitif, dan mengendalikan perangkat dari lokasi lain.
Fareed Radzi dari GReAT menilai serangan ini sangat mengandalkan rekayasa sosial. Menurutnya, penyerang mengeksploitasi kepercayaan pengguna terhadap platform pesan instan dengan mengirim file dari akun teman atau kolega yang sudah dibajak.
Langkah pencegahan yang disorot Kaspersky
Kaspersky mengimbau pengguna agar tidak langsung membuka lampiran yang terlihat mencurigakan, meski pesan datang dari kontak yang dikenal. Peringatan ini penting karena skema seperti ini justru memanfaatkan rasa percaya yang sudah terbentuk di percakapan pribadi.
Pengguna juga disarankan menghindari file berekstensi .vbs, .vbe, .exe, .bat, .cmd, .js, dan .ps1 sebelum memastikan keasliannya. Selain lebih disiplin memeriksa lampiran, penggunaan solusi keamanan digital seperti Kaspersky Premium juga direkomendasikan untuk membantu mendeteksi dan memblokir ancaman sebelum infeksi menyebar ke perangkat.