Eine aktuelle Angriffskampagne zeigt, wie effektiv alltägliche Kommunikationskanäle für gezielte Cyberangriffe missbraucht werden können. Sicherheitsforscher des Microsoft Security Teams beobachten seit Ende Februar eine Malware-Welle, bei der Angreifer manipulierte VBS-Dateien über WhatsApp versenden. Wird eine solche Datei ausgeführt, startet im Hintergrund eine mehrstufige Infektionskette mit einem klaren Ziel: dauerhafter Fernzugriff auf das System.
Besonders im Fokus stehen Windows-Systeme mit installierter WhatsApp-Desktop-Anwendung. Anders als auf mobilen Geräten lassen sich empfangene Dateien hier direkt öffnen und ausführen. Genau diesen Umstand nutzen die Angreifer gezielt aus.
Vom Skript zur vollständigen Kompromittierung
Der Angriff beginnt unscheinbar. Eine VBS-Datei wird über WhatsApp verschickt und durch Social Engineering zur Ausführung gebracht. Was folgt, ist technisch präzise orchestriert.
Nach dem Start legt das Skript zunächst versteckte Verzeichnisse unter C:\ProgramData an. Anschließend werden legitime Windows-Tools dort abgelegt, jedoch unter irreführenden Namen. So wird etwa curl.exe in netapi.dll umbenannt oder bitsadmin.exe als sc.exe getarnt. Ziel ist es, Sicherheitslösungen zu umgehen und die Aktivitäten möglichst unauffällig erscheinen zu lassen.
Diese Vorgehensweise gehört zu den sogenannten Living-off-the-land-Techniken. Statt eigene Schadprogramme einzuschleusen, nutzen Angreifer vorhandene Systemwerkzeuge, um ihre Spuren zu verschleiern.
Cloud-Dienste als Tarnung für Schadcode
Im nächsten Schritt lädt die Malware weitere Komponenten aus bekannten Cloud-Infrastrukturen nach, darunter AWS S3, Tencent Cloud und Backblaze B2. Der Datenverkehr wirkt dadurch auf den ersten Blick legitim, da viele Unternehmen diesen Diensten grundsätzlich vertrauen.
Geladen werden zusätzliche Skripte wie auxs.vbs oder WinUpdate_KB5034231.vbs, die den Angriff weiter vorantreiben und die Kontrolle über das System ausbauen.
Rechteausweitung und dauerhafte Verankerung
Nach dem Nachladen der Komponenten beginnt die eigentliche Systemübernahme. Die Malware manipuliert gezielt die Benutzerkontensteuerung, um Sicherheitsabfragen zu unterdrücken. Parallel dazu wird die Eingabeaufforderung wiederholt mit erhöhten Rechten gestartet, bis die Privilegieneskalation erfolgreich ist.
Zur Absicherung der eigenen Präsenz verändert der Schadcode Registry-Einträge unter HKLM\Software\Microsoft\Win. Dadurch bleibt die Malware auch nach Neustarts aktiv und kann dauerhaft auf das System zugreifen.
Fernzugriff über scheinbar legitime Installer
In der finalen Phase werden unsignierte MSI-Pakete nachgeladen. Die Dateinamen wirken bewusst harmlos, etwa Setup.msi, WinRAR.msi oder AnyDesk.msi.
Tatsächlich enthalten diese Pakete häufig Fernwartungssoftware wie AnyDesk. Für die Angreifer ist das ein effizienter Weg, um einen stabilen und unauffälligen Zugriff auf das kompromittierte System zu erhalten. Von dort aus sind Datenabfluss, Nachladen weiterer Malware oder die Einbindung in Botnetze problemlos möglich.
Dass MSI-Installer in vielen Unternehmen zum Standard gehören, erhöht die Erfolgswahrscheinlichkeit zusätzlich. Die Aktivitäten fallen im normalen IT-Betrieb kaum auf.
Angriff über Vertrauen statt Exploit
Auffällig ist, dass die Kampagne keine klassischen Sicherheitslücken ausnutzt. Der entscheidende Hebel ist das Vertrauen der Nutzer. WhatsApp dient lediglich als Transportkanal, die eigentliche Schwachstelle ist die Bereitschaft, eine empfangene Datei auszuführen.
Gerade exponierte Personen, etwa in Unternehmen, Behörden oder Politik, geraten zunehmend ins Visier solcher Angriffe. Der Zugriff auf einzelne Systeme ist dabei oft nur ein Zwischenschritt mit Blick auf größere Netzwerke und Kommunikationsstrukturen.
WhatsApp Malware: Was Unternehmen jetzt tun sollten
Die technischen Gegenmaßnahmen sind bekannt, müssen aber konsequent umgesetzt werden. Dazu gehört insbesondere die Einschränkung von Scripting-Hosts auf Endgeräten, sofern diese nicht zwingend benötigt werden. Auch die Überwachung von ausgehendem Datenverkehr zu Cloud-Diensten gewinnt an Bedeutung.
Entscheidend bleibt jedoch der Faktor Mensch. Anwender sollten für die Risiken sensibilisiert werden, insbesondere im Umgang mit Dateinhängen aus Messengern. Eine einzelne unbedachte Ausführung reicht aus, um die gesamte Angriffskette in Gang zu setzen.
Die aktuelle Kampagne zeigt, wie effektiv moderne Angriffe ohne klassische Exploits funktionieren können. Die Kombination aus legitimen Tools, vertrauenswürdiger Infrastruktur und gezielter Täuschung macht sie schwer erkennbar und damit besonders gefährlich.
Sie möchten Ihre IT besser schützen?
Wir helfen Ihnen bei der Absicherung Ihrer Systeme — von Firewall-Management über Endpoint Protection bis zur Security-Awareness-Schulung für Ihre Mitarbeiter. Rufen Sie uns an unter 0211 9779 958 oder schreiben Sie uns.
