Kampanye malware baru yang menyebar lewat WhatsApp Desktop dan WhatsApp Web membuat pengguna perlu lebih waspada terhadap pesan yang terlihat biasa. Serangan ini memanfaatkan file berbahaya berbasis VBScript yang dikirim lewat pesan langsung dan dirancang agar tampak seperti dokumen harian yang aman dibuka.
Ancaman ini menjadi berbahaya karena datang dari akun WhatsApp yang sudah diretas lebih dulu. Saat pesan dikirim dari kontak yang dikenal, tingkat kepercayaan penerima naik dan peluang lampiran dibuka ikut meningkat drastis.
Kaspersky mengungkap kampanye berskala besar ini dan menyebut serangannya telah menjangkau sejumlah negara. Korban terdeteksi di Malaysia, Brazil, Singapore, Taiwan, dan Vietnam, dengan jumlah terbanyak dilaporkan berada di Malaysia.
Menurut tim Kaspersky Global Research and Analysis Team atau GReAT, temuan ini terpantau pada Juni 2026. Pelaku memakai akun WhatsApp yang sebelumnya dibajak untuk menyebarkan lampiran berbahaya ke target lain melalui jalur percakapan yang tampak normal.
File dibuat semenarik mungkin agar tampak meyakinkan
Penyerang menyamarkan malware dengan nama file yang biasa ditemui dalam aktivitas bisnis. Beberapa label yang ditemukan mencakup invoice, laporan bank, laporan rekening, catatan pembayaran, dan surat pemberitahuan utang.
Nama file itu juga dibuat dalam berbagai bahasa, termasuk Inggris, Portugis, Prancis, Jerman, dan Melayu. Pola ini menunjukkan bahwa pelaku menyiapkan serangan untuk menjangkau target lintas wilayah secara masif.
Fareed Radzi dari GReAT menilai serangan ini sangat mengandalkan rekayasa sosial. Penyerang mengeksploitasi kepercayaan pengguna terhadap platform pesan instan dengan mengirim file dari akun teman atau kolega yang sudah dibajak.
Saat file dibuka, serangan berjalan diam-diam
Begitu file berbahaya dibuka, malware memulai serangan multi-tahap tanpa banyak tanda terlihat. Skrip awal akan membuat direktori kerja di Windows, tepatnya di folder C:\Users\Public\Documents.
Setelah itu, skrip mengunduh file tambahan dari server eksternal dan mengeksekusinya lewat Windows Script Host. Tahap berikutnya melibatkan pengunduhan arsip terkompresi yang berisi perangkat lunak pemantauan serta manajemen jarak jauh.
Rantai serangan ini dirancang untuk berlangsung diam-diam dan memberi ruang bagi pelaku untuk menguasai perangkat korban. Begitu proses berjalan penuh, ancamannya tidak lagi berhenti pada infeksi awal.
Bahaya utamanya adalah kemampuan malware memberi akses administratif jarak jauh kepada pelaku. Dengan akses itu, penyerang dapat memantau aktivitas korban, mengambil data sensitif, dan mengendalikan perangkat dari lokasi lain tanpa sepengetahuan pemilik.
Kaspersky mengimbau pengguna agar tidak langsung membuka lampiran yang terlihat mencurigakan, meski pesan datang dari kontak yang dikenal. Peringatan ini menjadi penting karena serangan semacam ini sengaja memanfaatkan rasa percaya yang sudah terbentuk di percakapan pribadi.
Pengguna juga disarankan tidak membuka file berekstensi .vbs, .vbe, .exe, .bat, .cmd, .js, atau .ps1 sebelum memastikan keasliannya. Selain disiplin memeriksa lampiran, penggunaan solusi keamanan digital seperti Kaspersky Premium juga direkomendasikan untuk membantu mendeteksi dan memblokir ancaman sebelum infeksi menyebar ke perangkat.
