Malware-Kampagne zielt auf WhatsApp Desktop: RATs übernehmen Windows-PCs
25.06.2026 - 22:57:51 | boerse-global.de
WhatsApp führt eine intelligente Warnfunktion gegen unbekannte Kontakte ein – zeitgleich warnt die IT-Sicherheitsbranche vor einer gefährlichen Malware-Kampagne.
Neue Schutzfunktion warnt vor unbekannten Absendern
Der Messaging-Dienst von Meta hat in den vergangenen Tagen eine neue Sicherheitsfunktion für Android und iOS ausgerollt. Die sogenannte „Security Pause" oder „Scam Alert" blendet einen Warnhinweis ein, bevor ein Nutzer eine Unterhaltung mit einer unbekannten Telefonnummer beginnt oder beantwortet. Branchenbeobachter wie WABetaInfo berichten, dass der Schritt Teil einer umfassenderen Strategie ist, impulsive Interaktionen mit potenziellen Betrügern zu verhindern.
Der Warnbildschirm liefert dem Nutzer entscheidende Informationen über den Absender: die Ländervorwahl, den Kontaktstatus und ob beide Nutzer gemeinsame Gruppen teilen. Auf dieser Basis kann der Empfänger entscheiden, ob er das Gespräch fortsetzt oder den Kontakt blockiert. Entscheidet sich der Nutzer für den Abbruch, erhält der Absender keine Benachrichtigung über die Zurückweisung.
Experten weisen jedoch darauf hin, dass die Funktion nicht absolut zuverlässig ist. Gespeicherte Kontakte oder Accounts, die die erste Prüfung umgangen haben, lösen die Warnung möglicherweise nicht aus. Die Funktion wird schrittweise ausgerollt und erscheint in manchen Versionen als optionale Einstellung. Die Verarbeitung erfolgt lokal auf dem Gerät, sodass die Ende-zu-Ende-Verschlüsselung erhalten bleibt.
Malware-Kampagne zielt auf Desktop-Nutzer
Parallel zu diesen Neuerungen schlagen Sicherheitsforscher Alarm. Die Experten von Kaspersky und das malaysische Computer Emergency Response Team (MyCERT) warnen vor einer hochriskanten Malware-Kampagne, die derzeit aktiv ist. Sie zielt gezielt auf Nutzer von WhatsApp Web und WhatsApp Desktop unter Windows ab.
Wer WhatsApp Desktop nutzt, sollte die neue Malware-Kampagne kennen: Kompromittierte Kontakte verschicken .vbs-Dateien, die RATs installieren. Unser 3-Schritte-Sicherheitscheck zeigt, wie Sie sich schützen. Jetzt kostenlosen Sicherheitscheck anfordern
Die Angreifer nutzen zuvor kompromittierte WhatsApp-Konten, um schädliche Dateien an die Kontakte der Opfer zu senden. Dabei setzen sie auf das Vertrauensverhältnis zwischen den Nutzern. Die Dateien sind als VBScript-Dokumente (.vbs) getarnt und geben sich als legitime Geschäfts- oder Finanzunterlagen aus. Ein häufig genutzter Dateiname ist „Acknowledgement of Debt.vbs".
Sobald ein Nutzer die Datei herunterlädt und ausführt, startet ein mehrstufiger Infektionsprozess. Am Ende installieren die Angreifer Remote Access Trojans (RATs), die ihnen die vollständige Kontrolle über das infizierte Gerät geben. Sicherheitsanalysten haben den Einsatz von Tools wie ManageEngine Endpoint Central für die Fernsteuerung beobachtet und Verbindungen zu Malware-Familien wie ValleyRAT und Gh0st RAT identifiziert.
Betroffene Regionen und Schutzmaßnahmen
Die Malware-Kampagne zeigt eine breite geografische Streuung. Besonders betroffen sind Malaysia, Brasilien, Singapur, Taiwan und Vietnam. Weitere Ziele wurden in Indien und Mexiko identifiziert. Die Angreifer nutzen lokalisierte Dateinamen in mehreren Sprachen, um ihre Social-Engineering-Taktiken zu verstärken.
Ihr Antivirenprogramm erkennt die aktuelle WhatsApp-Desktop-Malware nicht? Dann brauchen Sie einen speziellen Notfallplan. Unser Leitfaden hilft Ihnen, eine RAT-Infektion zu erkennen und den Schaden zu begrenzen. Notfallplan bei RAT-Infektion jetzt sichern
MyCERT warnt, dass kompromittierte Geräte einem hohen Risiko für den Diebstahl sensibler Informationen ausgesetzt sind – darunter Passwörter, PINs und Einmalpasswörter (OTPs). Die Malware kann offenbar herkömmliche Antivirensoftware umgehen, was die Erkennung für Durchschnittsnutzer erschwert.
Um sich zu schützen, empfehlen Sicherheitsexperten, unerwartete Anhänge immer über einen zweiten Kommunikationsweg beim Absender zu verifizieren. Zudem sollten Nutzer keine .vbs- oder .exe-Dateien ausführen, die sie über Messaging-Apps erhalten. Die Aktivierung der Zwei-Faktor-Authentifizierung ist essenziell, um die Übernahme des eigenen Accounts zu verhindern. Bei Verdacht auf eine Infektion sollten Betroffene das betroffene Gerät vom Internet trennen und alle Zugangsdaten von einem sauberen Rechner aus ändern.
