Kampanye malware yang menyamar sebagai invoice kini memanfaatkan WhatsApp Desktop dan WhatsApp Web untuk menjangkau korban melalui percakapan yang tampak biasa. Bahayanya meningkat karena lampiran berbahaya dikirim dari akun yang sudah diretas, sehingga penerima lebih mudah percaya dan cenderung membuka file tanpa curiga.
Kaspersky mengatakan serangan ini sudah menjangkau sejumlah negara, dengan kasus terdeteksi di Malaysia, Brazil, Singapore, Taiwan, dan Vietnam. Jumlah korban terbanyak dilaporkan berada di Malaysia, menandakan penyebaran yang tidak hanya luas tetapi juga cukup agresif di kawasan Asia Tenggara.
File dibuat menyerupai dokumen kerja harian
Menurut tim Kaspersky Global Research and Analysis Team atau GReAT, temuan tersebut terpantau pada Juni 2026. Pelaku memakai akun WhatsApp yang sebelumnya dibajak untuk mengirim lampiran berbahaya ke target lain melalui percakapan yang terlihat normal dan meyakinkan.
Nama file yang dipakai juga disusun agar terdengar lazim dalam urusan bisnis. Beberapa label yang ditemukan mencakup invoice, laporan bank, laporan rekening, catatan pembayaran, dan surat pemberitahuan utang.
Pola penyamaran itu tidak berhenti pada satu bahasa saja. Nama file juga dibuat dalam bahasa Inggris, Portugis, Prancis, Jerman, dan Melayu, yang menunjukkan bahwa pelaku menyiapkan serangan untuk menjangkau target lintas wilayah.
| Negara Terdeteksi | Catatan |
|---|---|
| Malaysia | Jumlah korban terbanyak dilaporkan di sini |
| Brazil | Terdeteksi sebagai salah satu lokasi korban |
| Singapore | Terdeteksi sebagai salah satu lokasi korban |
| Taiwan | Terdeteksi sebagai salah satu lokasi korban |
| Vietnam | Terdeteksi sebagai salah satu lokasi korban |
Rantai serangan berjalan diam-diam setelah file dibuka
Fareed Radzi dari GReAT menilai serangan ini sangat bertumpu pada rekayasa sosial. Pelaku memanfaatkan kepercayaan pengguna terhadap pesan instan dengan mengirim file dari akun teman atau kolega yang sudah dibajak.
Begitu file berbahaya dibuka, malware memulai serangan multi-tahap tanpa banyak tanda terlihat. Skrip awal akan membuat direktori kerja di Windows, tepatnya di folder C:UsersPublicDocuments.
Setelah itu, skrip mengunduh file tambahan dari server eksternal dan mengeksekusinya lewat Windows Script Host. Tahap berikutnya melibatkan pengunduhan arsip terkompresi yang berisi perangkat lunak pemantauan serta manajemen jarak jauh.
Rantai serangan tersebut dirancang agar berlangsung diam-diam dan memberi ruang bagi pelaku untuk menguasai perangkat korban. Saat proses berjalan penuh, ancamannya tidak lagi berhenti pada infeksi awal.
Bahaya utamanya adalah kemampuan malware memberi akses administratif jarak jauh kepada pelaku. Dengan akses itu, penyerang dapat memantau aktivitas korban, mengambil data sensitif, dan mengendalikan perangkat dari lokasi lain tanpa sepengetahuan pemilik.
Kaspersky mengimbau pengguna agar tidak langsung membuka lampiran yang terlihat mencurigakan, meski pesan datang dari kontak yang dikenal. Peringatan ini penting karena serangan semacam ini memang sengaja memanfaatkan rasa percaya yang sudah terbentuk di percakapan pribadi.
Pengguna juga disarankan tidak membuka file berekstensi .vbs, .vbe, .exe, .bat, .cmd, .js, atau .ps1 sebelum memastikan keasliannya. Selain disiplin memeriksa lampiran, penggunaan solusi keamanan digital seperti Kaspersky Premium juga direkomendasikan untuk membantu mendeteksi dan memblokir ancaman sebelum infeksi menyebar ke perangkat.