Persoon houdt een zwarte Android-smartphone vast
Nieuws23 juni · 02:545 min leestijd

WhatsApp-phishing gebruikt nep-bedrijfsdocumenten om pc's volledig over te nemen

Een actieve campagne stuurt via gekaapte WhatsApp-accounts valse zakelijke documenten rond die in werkelijkheid VBScript zijn. Eenmaal geopend installeren ze stilletjes beheersoftware die volledige toegang geeft.

Een bericht van een bekende met een factuur of zakelijk document in de bijlage: weinig mensen zijn daar achterdochtig over, zeker niet via WhatsApp. Precies die reflex misbruikt een actieve malwarecampagne die beveiligingsonderzoekers nu in kaart brengen. Via gekaapte WhatsApp-accounts worden valse bedrijfsdocumenten verstuurd die in werkelijkheid kwaadaardige scripts zijn, en die de aanvaller volledige toegang op afstand geven tot de pc van het slachtoffer. WhatsApp wordt in het Nederlandse MKB en bij grotere organisaties breed gebruikt voor klant- en leverancierscontact, dus deze aanvalsmethode verdient aandacht.

Hoe de aanval werkt

De campagne is ontdekt en geanalyseerd door onderzoekers van Kaspersky. De aanvallers sturen sterk versleutelde VBScript-bestanden met bestandsnamen die lijken op financiele rapporten of facturen, in de lokale taal van het doelwit. Wie zo'n bestand opent, zet onbewust een meertraps-infectie in gang: het eerste script maakt een verborgen werkmap aan en haalt vervolgcomponenten op, een tweede script schakelt de Windows-beveiligingsmelding (UAC) uit, en een derde installeert in stilte een legitiem stuk beheersoftware.

Dat laatste is het slimme en gevaarlijke deel. In plaats van zelfgebouwde malware installeren de aanvallers ManageEngine Endpoint Central, een echte remote management-tool (RMM) die normaal door IT-afdelingen wordt gebruikt om computers op afstand te beheren. Omdat het om legitieme software gaat, glipt die makkelijker langs beveiliging heen. Het resultaat is hetzelfde als bij klassieke malware: de aanvaller heeft beheerderstoegang op afstand.

Wie wordt geraakt

De campagne is breed en opportunistisch, niet gericht op een specifieke sector. Volgens de analyse van Kaspersky zat ongeveer 80 procent van de slachtoffers in Maleisie, met verdere besmettingen in onder meer Brazilie, India, Mexico, Singapore, het Verenigd Koninkrijk, Spanje, Taiwan, Australie, Rusland en Vietnam. De dader is niet geidentificeerd. Onderzoekers vonden wel aanwijzingen: Chinese taalsporen in de code en infrastructuur die overlapt met eerdere ValleyRAT- en Gh0st RAT-activiteit, al is dat met lage zekerheid. Hoe de WhatsApp-accounts precies werden gekaapt, is nog onbekend.

Nederland staat niet op de lijst, maar dat is een momentopname. De techniek (legitieme beheersoftware als wapen, een zakelijk document als lokaas, verspreiding via een vertrouwd contact) is precies het soort aanpak dat zich makkelijk naar nieuwe landen verplaatst.

Wat dit betekent voor jouw bedrijf

De kern is dat je verdediging niet kunt laten afhangen van "herken je een verdacht bericht". Een document van een bekend contact via WhatsApp ziet er niet verdacht uit, en juist daar zit het probleem. De overtuigendste aanvallen hebben geen spelfouten of vreemde domeinen meer, dus begint verdediging bij je proces in plaats van bij losse alertheid. Spreek met je team een vaste regel af: een onverwacht bestand of betaalverzoek, ook van een bekende, controleer je altijd via een tweede kanaal (een telefoontje) voordat je het opent.

Technisch helpt een paar basismaatregelen enorm: houd antivirus en endpointbescherming actief, beperk wie software mag installeren, en zorg dat je weet welke beheertools wel en niet in je netwerk thuishoren, zodat een vreemde RMM-installatie opvalt. Het zijn precies dit soort lagen die je terugvindt in een praktische cybersecurity basischeck die je zelf kunt nalopen. Geen enkele maatregel is op zichzelf waterdicht, maar samen verkleinen ze de kans dat een nep-factuur via WhatsApp je hele werkplek opent.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Veilige processen, niet losse alertheid

Ik help je werkprocessen zo inrichten dat een nep-document of betaalverzoek niet door de mazen glipt, met automatische controles en veilige werkstromen die ik end-to-end met je ontwerp en bouw.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

OpenAI en Google leveren AI aan Chinese zwartelijst-bedrijven via Singapore
Nieuws
4 min

10 jul 22:24

OpenAI en Google leveren AI aan Chinese zwartelijst-bedrijven via Singapore

OpenAI en Google leverden geavanceerde AI-diensten aan Singaporese dochters van Alibaba, Baidu en Tencent, bedrijven die op een zwarte lijst van het Pentagon staan. Exportcontroles blijken poreus, en dat verandert je leveranciersrisico.

Chatcontrole 1.0 keert terug na stemming Europees Parlement
Nieuws
4 min

9 jul 14:09

Chatcontrole 1.0 keert terug na stemming Europees Parlement

Chatcontrole 1.0 is opnieuw van kracht: het Europees Parlement haalde donderdag te weinig tegenstemmen om het vrijwillig scannen van berichten en webmail te blokkeren. Wat dit raakt en waarom 2.0 nog dreigt.

China waarschuwt officieel voor backdoor in Claude Code
Nieuws
3 min

8 jul 12:23

China waarschuwt officieel voor backdoor in Claude Code

China's cybermeldpunt NVDB, onderdeel van het industrieministerie, waarschuwt officieel voor een backdoor in Anthropics Claude Code die zonder toestemming locatie- en identiteitsgegevens verstuurt. De melding noemt concrete versies en volgt op Alibaba's eerdere verbod.

Klantportaal laten bouwen: kant-en-klaar, no-code of maatwerk?
Gids
Uitgebreide gids12 min

7 jul 21:00

Klantportaal laten bouwen: kant-en-klaar, no-code of maatwerk?

Een klantportaal laten bouwen is geen bouwvraag maar een keuzevraag. Kant-en-klaar, no-code of maatwerk: hoe je kiest op je functie-eisen, wat elke aanpak echt kost en waar het misgaat.

Singapore klaagt Aperia-topman aan voor witwassen in Nvidia-chipzaak
Nieuws
4 min

6 jul 10:22

Singapore klaagt Aperia-topman aan voor witwassen in Nvidia-chipzaak

Singapore gaf Aperia-topman Alan Wei negen extra aanklachten voor witwassen en fraude in de Nvidia-chipsmokkelzaak, waaronder 38 miljoen SGD witgewassen in een luxe villa. Voor wie AI-hardware via wederverkopers inkoopt, raakt dit de eigen keten.

Z.ai lanceert gratis codeertool ZCode op GLM-5.2
Nieuws
4 min

4 jul 18:10

Z.ai lanceert gratis codeertool ZCode op GLM-5.2

Z.ai brengt ZCode uit, een gratis agent-gedreven codeertool op GLM-5.2 die Cursor, Claude Code en GitHub Copilot uitdaagt. Goedkoop en krachtig, maar wie zijn code door de cloud-API stuurt, krijgt er een datavraag bij.