Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer

WhatsApp-Malware-Kampagne installiert Backdoors

02.04.2026

 zur Newsdatenbank home

Angreifer versenden momentan VBS-Dateien (Visual Basic Script) in WhatsApp-Nachrichten. Das hat Microsoft beobachtet. Werden solche VBS-Dateien ausgeführt, wird eine mehrstufige Infektionskette ausgelöst und Angreifer erhalten am Ende Fernzugriff auf das System. Da sich die schädlichen Skripte über die WhatsApp-Desktop-Version unter Windows ohne Umwege ausführen lassen, sind dessen Nutzer besonders gefährdet.

Vor dieser Kampagne, die Ende Februar begann, warnt das Microsoft-Defender-Securityteam in einem Blog-Beitrag. Sie haben zwar keine Beispiele von beobachteten Nachrichten genannt, erklären aber, dass die bösartigen VBS-Dateien als WhatsApp-Nachrichten bei den Opfern landen und somit das Vertrauen in die bekannte Kommunikationsplattform missbraucht werde. Das Skript legt dann bei der Ausführung versteckte Ordner unter „C:\ProgramData“ an und speichert dort umbenannte Versionen legitimer Windows-Werkzeuge wie „curl.exe“ (in „netapi.dll“ umbenannt) oder „bitsadmin.exe“ als „sc.exe“.

Die Malware lädt anschließend mit den umbenannten Binärdateien weitere Dropper wie „auxs.vbs“ und „WinUpdate_KB5034231.vbs“ aus oftmals als vertrauenswürdig eingestuften Cloudspeichern nach. Microsoft erklärt, dass diese Methode die bösartigen Aktivitäten als legitimen Netzwerkverkehr verschleiert.

Wurden die schädlichen Dateien aus einer Cloud heruntergeladen, verändert die Malware Einstellungen der Benutzerkontensteuerung, um durch das Deaktivieren von UAC-Prompts die Verteidigungsmechanismen des Windows-Systems zu schwächen. Der Schadcode verankert sich dann letztlich durch Veränderungen von Registry-Einträgen unter „HKLM\Software\Microsoft\Win“ und erreicht Persistenz über Reboots hinweg.

Am Ende werden unsignierte MSI-Installer mit Namen wie Setup.msi, WinRAR.msi, LinkPoint.msi und AnyDesk.msi nachgeladen. Darin enthalten sind Fernsteuerungssoftware wie AnyDesk und ermöglichen Angreifern nachhaltigen Fernzugriff.

In der Analyse finden Interessierte Tipps und Hinweise, wie sie ihre Netzwerke vor solchen Angriffen schützen können.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89