Een bericht van een bekende met een factuur of zakelijk document in de bijlage: weinig mensen zijn daar achterdochtig over, zeker niet via WhatsApp. Precies die reflex misbruikt een actieve malwarecampagne die beveiligingsonderzoekers nu in kaart brengen. Via gekaapte WhatsApp-accounts worden valse bedrijfsdocumenten verstuurd die in werkelijkheid kwaadaardige scripts zijn, en die de aanvaller volledige toegang op afstand geven tot de pc van het slachtoffer. WhatsApp wordt in het Nederlandse MKB en bij grotere organisaties breed gebruikt voor klant- en leverancierscontact, dus deze aanvalsmethode verdient aandacht.
Hoe de aanval werkt
De campagne is ontdekt en geanalyseerd door onderzoekers van Kaspersky. De aanvallers sturen sterk versleutelde VBScript-bestanden met bestandsnamen die lijken op financiele rapporten of facturen, in de lokale taal van het doelwit. Wie zo'n bestand opent, zet onbewust een meertraps-infectie in gang: het eerste script maakt een verborgen werkmap aan en haalt vervolgcomponenten op, een tweede script schakelt de Windows-beveiligingsmelding (UAC) uit, en een derde installeert in stilte een legitiem stuk beheersoftware.
Dat laatste is het slimme en gevaarlijke deel. In plaats van zelfgebouwde malware installeren de aanvallers ManageEngine Endpoint Central, een echte remote management-tool (RMM) die normaal door IT-afdelingen wordt gebruikt om computers op afstand te beheren. Omdat het om legitieme software gaat, glipt die makkelijker langs beveiliging heen. Het resultaat is hetzelfde als bij klassieke malware: de aanvaller heeft beheerderstoegang op afstand.
Wie wordt geraakt
De campagne is breed en opportunistisch, niet gericht op een specifieke sector. Volgens de analyse van Kaspersky zat ongeveer 80 procent van de slachtoffers in Maleisie, met verdere besmettingen in onder meer Brazilie, India, Mexico, Singapore, het Verenigd Koninkrijk, Spanje, Taiwan, Australie, Rusland en Vietnam. De dader is niet geidentificeerd. Onderzoekers vonden wel aanwijzingen: Chinese taalsporen in de code en infrastructuur die overlapt met eerdere ValleyRAT- en Gh0st RAT-activiteit, al is dat met lage zekerheid. Hoe de WhatsApp-accounts precies werden gekaapt, is nog onbekend.
Nederland staat niet op de lijst, maar dat is een momentopname. De techniek (legitieme beheersoftware als wapen, een zakelijk document als lokaas, verspreiding via een vertrouwd contact) is precies het soort aanpak dat zich makkelijk naar nieuwe landen verplaatst.
Wat dit betekent voor jouw bedrijf
De kern is dat je verdediging niet kunt laten afhangen van "herken je een verdacht bericht". Een document van een bekend contact via WhatsApp ziet er niet verdacht uit, en juist daar zit het probleem. De overtuigendste aanvallen hebben geen spelfouten of vreemde domeinen meer, dus begint verdediging bij je proces in plaats van bij losse alertheid. Spreek met je team een vaste regel af: een onverwacht bestand of betaalverzoek, ook van een bekende, controleer je altijd via een tweede kanaal (een telefoontje) voordat je het opent.
Technisch helpt een paar basismaatregelen enorm: houd antivirus en endpointbescherming actief, beperk wie software mag installeren, en zorg dat je weet welke beheertools wel en niet in je netwerk thuishoren, zodat een vreemde RMM-installatie opvalt. Het zijn precies dit soort lagen die je terugvindt in een praktische cybersecurity basischeck die je zelf kunt nalopen. Geen enkele maatregel is op zichzelf waterdicht, maar samen verkleinen ze de kans dat een nep-factuur via WhatsApp je hele werkplek opent.
Veelgestelde vragen
Veilige processen, niet losse alertheid
Ik help je werkprocessen zo inrichten dat een nep-document of betaalverzoek niet door de mazen glipt, met automatische controles en veilige werkstromen die ik end-to-end met je ontwerp en bouw.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
