Ende Februar 2026 wurde eine Kampagne entdeckt, die WhatsApp-Nachrichten nutzt, um schädliche Dateien, die in Visual Basic Script (VBS) geschrieben wurden, zu verbreiten. Nach Microsoft-Forschern ist der anfängliche Vektor Dateien, die, wenn von dem Benutzer ausgeführt, eine mehrphasige Infektionskette auslösen, um im System zu bleiben und Remote-Zugriff zu den Angreifern. Was diese Operation besonders gefährlich macht, ist die Mischung aus Social Engineering mit der Verwendung von legitimen Werkzeugen des Systems selbst und anerkannten Cloud-Services. Um den Umfang und die Auswirkungen zu verstehen, ist es angebracht, zu disaggregieren, wie der Eingriff funktioniert und welche Maßnahmen zur Verringerung des Risikos zu ergreifen sind.
Der Ausgangspunkt - nach der Untersuchung - ist das Senden eines VBS von WhatsApp, dessen Inhalt versucht, das Opfer zu überreden, es auszuführen, obwohl Microsoft noch nicht die genauen Lures von den Angreifern verwendet bestätigt hat. Beim Aktivieren erstellt das Skript versteckte Ordner innerhalb von C:\ ProgramData und legt renommierte Versionen von legitimen Windows-Executables fest. Unter den identifizierten Dateien sind Dienstprogramme wie curl.exe und bitsadmin.exe, aber mit falschen Namen wie netapi.dll und sc.exe zu verwechseln mit dem Verkehr und den üblichen Systemprozessen.
Sobald der erste Zugriff erreicht ist, wird die Kampagne weiterhin sekundäre Nutzlasten herunterladen, die in weit verbreiteten Cloud-Speicherdiensten untergebracht sind. Microsoft hat beobachtet, dass komplementäre VBS-Dateien von Plattformen wie Amazon S3, Tencent Cloud-Dienste und BackBlaze B2 erhalten werden. Durch die Hosting-Komponenten in zuverlässiger Infrastruktur machen Angreifer die Erkennung schwierig und profitieren von dem Ruf dieser Dienste, ihre schädlichen Downloads zu tarnen. Wenn Sie überprüfen möchten, warum diese Lieferanten bei solchen Missbräuchen häufig sind, können Sie die öffentliche Dokumentation AWS S3 lesen ( aws.amazon.com / s3), Tencent Cloud ( Intl.cloud) und BackBlaze B2 ( zurückBlaze.com)
Der Zweck dieser sekundären Binäre und Skripte ist doppelt: Persistenz zu etablieren und Privilegien zu skalieren. Die Angreifer versuchen, die Kontokontrollmechanismen (UAC) zu schwächen, um Befehle mit hohen Privilegien auszuführen. Nach der Analyse, die Malware versucht, wiederholt starten cmd.exe mit Höhe, bis es erreicht wird oder bis der Prozess unterbrochen wird, sowie zu ändern Registry Schlüssel unter HKLM\ Software\ Microsoft\ Gewinnen, um Mechanismen einzuführen, die Wiederanfänger überleben. Diese Art der Manipulation sucht, dass die Steuerung über die Maschine nicht von der ständigen Interaktion des Benutzers abhängt.
Sobald sie hohe Privilegien erreicht haben, installieren die Betreiber unsignierte MSI-Pakete, die einen dauerhaften Fernzugriff bieten. Unter den in böswilligen Bereitstellungen beobachteten Werkzeugen ist AnyDesk, eine legitime Remote Access Software, die in den Händen eines Angreifers erlaubt, Informationen auszufiltern, zusätzliche Aktionen auszuführen oder zusätzliche Payloads bereitzustellen. Diese Strategie - mit legitimer Software, um böswillige Ziele zu erreichen - ist eine klassische Variante von "Leving-off-the-land" Techniken und erschwert Erkennungsarbeit, weil viele Verteidigungen neigen dazu, Verkehr oder Prozesse betrachtet Routine zu ermöglichen.
Aus technischer und operativer Sicht gibt es zwei wichtige Lektionen. Der erste ist, dass die Verwendung von renommierten Diensten macht das bösartige Verhalten scheint normal in Aufzeichnungen und Netzwerkverkehr; zum Beispiel, das Herunterladen von S3 mit einer Kopie von renommierten Curl nicht notwendigerweise erzeugen die gleichen Warnungen wie ein unbekanntes externes Werkzeug. Die zweite ist, dass Hosting Binaries auf Vertrauensplattformen reduziert die Wahrscheinlichkeit von Transfers durch Sicherheitsrichtlinien blockiert werden, die implizit auf bekannte Domains und Endpunkte verlassen.
Für Benutzer und Administratoren wird dies in klare praktische Empfehlungen übersetzt: führen Sie keine Dateien, die von Instant Messaging empfangen werden, ohne sie zu überprüfen, auch wenn sie von bekannten Kontakten kommen; aktivieren und halten Sie auf dem neuesten Stand ein Antivirus und EDR-Lösungen; überprüfen Skripte Ausführungsrichtlinien und Einschränkungen der Software-Installation; überprüfen Sie die Ausführung von renommierten Binaries und überwachen Änderungen an sensiblen Registry-Schlüsseln und UAC-Konfiguration. Microsoft veröffentlicht allgemeine Anleitung und Bedrohungswarnungen, die helfen können, auf Vorfälle und Härtesysteme reagieren: Microsoft Security Blog und Dokumentation ihrer Endpunktschutzlösungen ( learn.microsoft.com - Defender für Endpoint)
Es ist auch nützlich, die Messaging-Vektoren und ihre Sicherheitsoptionen zu kennen: WhatsApp hat Anleitungen und Tipps, wie man verdächtige Nachrichten identifiziert und Konten schützt, die konsultiert werden sollten, wenn Sie unerwartete Dateien oder Links erhalten ( Whatsapp - Sicherheit) Bei Infrastrukturbetreibern helfen Ressourcen wie das MITRE ATT & CK-Framework, die von den Angreifern verwendeten Techniken zu klassifizieren und zu verstehen, einschließlich des Missbrauchs von Systemdiensten und der Verwendung von Cloud-Speicher als Lieferkanal ( mitre.org / Angriff)
Wenn Sie vermuten, dass ein System durch eine solche Kampagne beeinträchtigt worden ist, schalten Sie es nicht sofort aus, ohne den Vorfall zu dokumentieren, es sei denn, es besteht ein unmittelbares Risiko; in vielen Fällen empfehlen die Antwortteams, die Maschine aus dem Netzwerk zu isolieren, Datensätze und Speicher zu speichern, wenn möglich, und klettern ein Notfall-Response-Team oder den Sicherheitsanbieter. Nationale Cybersicherheitsagenturen veröffentlichen auch Anleitungen und Warnungen zu aufstrebenden Bedrohungen; zum Beispiel hält die US-Agentur CISA Mittel, um auf Kampagnen mit Persistenztechniken und Fernzugriff reagieren ( cisa.gov - Warnungen)
Kurz gesagt, diese Kampagne bekräftigt einen Trend, den Sicherheitsteams seit Jahren beobachtet haben: Die Angreifer vereinen das Vertrauen, dass sie legitime Werkzeuge und Dienstleistungen mit sozialen Lures erzeugen, um Verteidigung zu überwinden. Effektiver Schutz hängt nicht nur davon ab, das Offensichtliche zu blockieren, sondern auch davon ab, atypische Muster in täglichen Prozessen zu identifizieren und Nutzer zu erziehen, um keine einfache Botschaft in die Eingangstür eines größeren Engagements zu verwandeln. Die Aufrechterhaltung aktueller Systeme, die Einschränkung der Ausführung von nicht verifizierten Skripten, die Überwachung kritischer Änderungen im Register und der UAC-Konfiguration sowie die Implementierung von Anwendungs- und Leistungskontrollen bleiben wichtige Maßnahmen, um die Auswirkungen solcher Kampagnen zu reduzieren.
Um Informationen zu erweitern und zusätzliche Warnungen und Analysen zu ähnlichen Bedrohungen zu sehen, können Sie Quellen, die sich auf Cybersicherheit und technische Nachrichten wie BlepingComputer oder die offiziellen Veröffentlichungen und Blogs der beteiligten Lieferanten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...