Pengguna WhatsApp Desktop dan WhatsApp Web diminta meningkatkan kewaspadaan setelah terungkapnya kampanye serangan siber yang memanfaatkan akun WhatsApp yang telah diretas untuk menyebarkan file berbahaya. Temuan ini diungkap oleh Kaspersky Global Research and Analysis Team (GReAT) pada Juni 2026, dengan korban ditemukan di berbagai negara seperti Malaysia, Brasil, Singapura, Taiwan, dan Vietnam. Malaysia menjadi negara dengan jumlah korban terbanyak yang teridentifikasi.
Para pelaku memanfaatkan pesan langsung di WhatsApp untuk mengirimkan file VBScript berbahaya yang disamarkan sebagai dokumen bisnis sehari-hari. Nama file dibuat menyerupai faktur, laporan bank, catatan pembayaran, hingga pemberitahuan utang. Selain menggunakan bahasa Inggris, nama file juga dilokalisasi ke berbagai bahasa lain seperti Portugis, Prancis, Jerman, dan Melayu, yang menunjukkan target serangan yang tersebar luas, termasuk kawasan Eropa.
Kaspersky mengungkapkan bahwa pesan berisi lampiran tersebut dikirim dari akun WhatsApp yang sebelumnya telah diretas. Karena berasal dari kontak yang sudah dikenal, penerima lebih mudah mempercayai dan membuka file yang dikirim.
“Dalam skema serangan ini, penyerang mengeksploitasi kepercayaan dalam platform perpesanan dengan menggunakan akun WhatsApp yang diretas untuk mengirimkan lampiran berbahaya yang tampaknya berasal dari kontak dikenal, membuat penerima cenderung untuk berinteraksi dengan mereka. Nama file disamarkan dengan cermat sebagai dokumen bisnis rutin, seperti faktur dan pemberitahuan pembayaran, dan dilokalisasi dalam berbagai bahasa untuk mendukung penargetan yang luas. Setelah dibuka, file tersebut memicu rantai infeksi bertahap yang secara diam-diam mengambil dan mengeksekusi komponen berbahaya tambahan dari infrastruktur eksternal,” kata Fareed Radzi, peneliti keamanan di Kaspersky GReAT.
Menurut hasil investigasi, file yang dibuka korban akan memulai serangkaian proses berlapis. Skrip awal membuat direktori kerja di dalam sistem komputer, kemudian mengunduh skrip tambahan dari server eksternal dan menjalankannya melalui Windows Script Host. Tahap berikutnya memungkinkan malware mengunduh arsip terkompresi yang berisi paket perangkat lunak pemantauan dan manajemen jarak jauh.
Kemampuan tersebut pada dasarnya merupakan fitur administratif yang biasa digunakan untuk dukungan dan pengelolaan teknologi informasi. Namun, dalam kampanye ini, fasilitas tersebut disalahgunakan untuk memberikan akses jarak jauh kepada pelaku terhadap sistem yang telah terinfeksi.
Untuk mengurangi risiko, para peneliti Kaspersky mengimbau pengguna agar tidak sembarangan membuka lampiran yang diterima melalui WhatsApp, termasuk yang berasal dari kontak yang dikenal. Pengguna juga disarankan untuk menghindari membuka file berekstensi .vbs, .vbe, .exe, .bat, .cmd, .js, maupun .ps1 sebelum memastikan keasliannya secara independen. Selain itu, penggunaan solusi keamanan yang andal pada komputer dan perangkat seluler dinilai penting untuk mendeteksi serta mencegah infeksi malware sejak dini.
