Technologue.id, Jakarta – Peneliti keamanan siber dari Kaspersky mengungkap kampanye serangan baru yang memanfaatkan WhatsApp Desktop dan WhatsApp Web untuk menyebarkan malware melalui file berbahaya yang dikirim langsung ke korban. Serangan ini telah terdeteksi di sejumlah negara, termasuk Malaysia, Brasil, Singapura, Taiwan, dan Vietnam. Malaysia menjadi wilayah yang mencatat jumlah korban terbanyak.
Temuan tersebut diumumkan oleh tim Kaspersky Global Research and Analysis Team (GReAT) pada Juni 2026. Berdasarkan investigasi mereka, pelaku memanfaatkan akun WhatsApp yang telah diretas untuk mengirimkan lampiran berbahaya kepada kontak yang tersimpan di akun tersebut.
Metode ini dinilai efektif karena pesan terlihat berasal dari orang yang dikenal oleh korban, sehingga meningkatkan kemungkinan file yang dikirim akan dibuka tanpa kecurigaan.
Untuk meningkatkan tingkat keberhasilan serangan, pelaku menggunakan teknik rekayasa sosial dengan menyamarkan file berbahaya sebagai dokumen bisnis sehari-hari. Nama file dibuat menyerupai faktur, laporan bank, laporan rekening, catatan pembayaran, hingga pemberitahuan utang.
Kaspersky menemukan bahwa nama file tersebut disesuaikan dengan berbagai bahasa, termasuk Inggris, Portugis, Prancis, Jerman, dan Melayu. Hal ini mengindikasikan bahwa kampanye tersebut dirancang untuk menjangkau target di berbagai wilayah dan kelompok bahasa, termasuk kawasan Eropa dan Asia Tenggara.
Selain itu, file VBScript yang digunakan dalam serangan juga dilengkapi komentar dan metadata yang dirancang menyerupai komponen resmi Microsoft Windows Update. Teknik ini bertujuan untuk mengurangi kecurigaan pengguna maupun administrator sistem saat file diperiksa.
“Dalam skema serangan ini, penyerang mengeksploitasi kepercayaan dalam platform perpesanan dengan menggunakan akun WhatsApp yang diretas untuk mengirimkan lampiran berbahaya yang tampaknya berasal dari kontak dikenal, membuat penerima cenderung untuk berinteraksi dengan mereka,” ujar Fareed Radzi, peneliti keamanan di Kaspersky GReAT.
Menurutnya, nama file telah disamarkan secara cermat agar terlihat seperti dokumen bisnis rutin dan dilokalisasi ke berbagai bahasa untuk mendukung penargetan dalam skala luas.
Setelah file dibuka, malware menjalankan serangkaian proses bertahap di perangkat korban. Skrip awal akan membuat direktori kerja pada sistem Windows, kemudian menghubungi infrastruktur eksternal untuk mengunduh komponen tambahan.
File lanjutan tersebut dieksekusi menggunakan Windows Script Host dan bertugas melakukan berbagai aktivitas sistem sebelum mengunduh arsip terkompresi lainnya dari server yang sama.
Arsip tersebut berisi paket instalasi perangkat lunak pemantauan dan manajemen jarak jauh (remote monitoring and management/RMM). Meskipun perangkat lunak jenis ini umumnya digunakan secara sah oleh tim dukungan teknis dan administrator TI, dalam kampanye ini perangkat tersebut dimanfaatkan untuk memberikan akses jarak jauh kepada pelaku ke sistem korban.
Dengan akses tersebut, penyerang berpotensi melakukan berbagai aktivitas lanjutan, termasuk pengawasan sistem, pengambilan data, hingga pemasangan malware tambahan.
Kaspersky menilai kampanye ini menunjukkan tren meningkatnya penyalahgunaan platform komunikasi populer sebagai jalur distribusi malware. Berbeda dengan email phishing tradisional, pesan yang dikirim melalui akun WhatsApp yang telah diretas memiliki tingkat kredibilitas lebih tinggi karena berasal dari kontak yang telah dikenal korban.
Para peneliti mengimbau pengguna untuk tetap berhati-hati saat menerima file melalui aplikasi perpesanan, bahkan jika file tersebut berasal dari teman, rekan kerja, atau kontak yang dipercaya. Pengguna juga disarankan untuk memverifikasi keaslian lampiran sebelum membukanya, terutama jika file tersebut berkaitan dengan transaksi keuangan, tagihan, atau dokumen bisnis yang tidak sedang dinantikan.
