WhatsApp-Angriff auf Windows: VBS-Malware hebelt Schutz aus : Microsoft beschreibt eine mehrstufige Infektionskette mit Tarnung und Rechteausweitung
Über WhatsApp verbreiten Angreifer derzeit schädliche Visual-Basic-Skript-Dateien, die Windows-Systeme Schritt für Schritt kompromittieren. Laut Microsoft setzt die Kampagne auf Täuschung, umbenannte Bordmittel, Cloud-Dienste und eine Umgehung der Benutzerkontensteuerung, um Persistenz und Fernzugriff zu erreichen.
Seit Ende Februar 2026 beobachtet Microsoft eine Kampagne, bei der schädliche Visual-Basic-Skript- (VBS)Dateien über WhatsApp zugestellt werden. Nach der Ausführung startet eine mehrstufige Infektionskette, die auf Persistenz, Rechteausweitung und dauerhaften Fernzugriff zielt. Noch ist unklar, mit welchen Ködern die Angreifer Nutzer zur Ausführung bewegen.
Zwei Angriffsmethoden raffiniert kombiniert
Besonders brisant ist eine geschickte Kombination zweier Angriffsmethoden. So warnt Microsoft: „Die Kampagne stützt sich auf eine Kombination aus Social Engineering und Living-off-the-Land- (LotL)Techniken.“ Angreifer missbrauchen reguläre Systemwerkzeuge und lassen ihre Aktionen dadurch wie legitime Vorgänge aussehen.
Zu Beginn legt der Schadcode versteckte Ordner unter „C:\ProgramData“ an. Anschließend werden umbenannte Varianten legitimer Windows-Werkzeuge abgelegt, darunter curl.exe als „netapi.dll“ und bitsadmin.exe als „sc.exe“. Diese Tarnung erschwert sowohl die manuelle Analyse als auch die automatisierte Erkennung.
Im nächsten Schritt laden die Angreifer zusätzliche VBS-Dateien nach. Als Hosting-Infrastruktur dienen vertrauenswürdige Cloud-Plattformen wie Amazon Web Services (AWS), Tencent Cloud und Backblaze B2. Gerade diese Nutzung seriöser Dienste erhöht die Erfolgschancen, weil Netzwerkverkehr zu bekannten Plattformen in vielen Umgebungen weniger Misstrauen auslöst.
Basis für Rechteausweitung und Persistenz
Sobald die beiden sekundären Schadkomponenten eingerichtet sind, beginnt die eigentliche Systemmanipulation: „Die Malware beginnt, Einstellungen der Benutzerkontensteuerung (UAC) zu manipulieren, um die Systemabwehr zu schwächen“, so Microsoft.
Danach versucht der Schadcode fortlaufend, cmd.exe mit erhöhten Rechten zu starten – solange, bis die Rechteausweitung gelingt, oder der Prozess gewaltsam beendet wird. Parallel verändert die Malware Registrierungswerte unter „HKLM\Software\Microsoft\Win“ und verankert Mechanismen, die Neustarts überdauern.
Tarnung, Persistenz und Fernzugriff
Technisch ist die Kette deshalb bemerkenswert, weil sie keine Interaktion mit dem Benutzer erfordert und mehrere Taktiken sauber ineinandergreifen:
- die Zustellung per WhatsApp,
- die Tarnung durch umbenannte Bordmittel,
- versteckte Dateiattribute,
- Cloud-basiertes Nachladen und schließlich
- die Installation unsignierter Microsoft-Installer-Pakete.
Darüber hinaus können legitime Fernwartungswerkzeuge wie AnyDesk eingebracht werden, um dauerhaften Zugriff zu sichern.
Warum diese Kampagne so gefährlich ist
Die eigentliche Stärke des Angriffs liegt weniger in einer einzelnen Schadkomponente als in der Orchestrierung. Microsoft spricht von „einer ausgefeilten Infektionskette, die Social Engineering, Tarntechniken und cloudbasiertes Hosting von Nutzlasten kombiniert“.
Für Verteidiger bedeutet das: Klassische Signaturerkennung allein reicht nicht. Entscheidend sind Verhaltensanalyse, strikte Ausführungsrichtlinien für Skripte, Überwachung verdächtiger Rechteausweitungen und eine genaue Kontrolle legitimer Werkzeuge, die plötzlich in ungewohnten Pfaden oder unter falschen Namen auftauchen.