WhatsApp-Malware: Kaspersky warnt vor VBScript-Ködern
22.06.2026 - 15:37:45 | boerse-global.de
Sicherheitsforscher von Kaspersky haben eine aktive Malware-Kampagne aufgedeckt, die über WhatsApp verbreitet wird und vor allem Nutzer der Desktop- und Web-Versionen des Messengers ins Visier nimmt.
Die Angreifer nutzen gekaperte Accounts, um scheinbar vertrauenswürdige Nachrichten an die Kontakte der Opfer zu senden. Der Köder: getarnte VBScript-Dateien, die wie legitime Geschäftsdokumente aussehen – etwa Rechnungen, Kontoauszüge oder Finanzberichte. Ein typischer Dateiname lautet „Financial Reports.vbs".
Mehrstufiger Infektionsprozess
Anzeige: Wer die aktuelle WhatsApp-Malware-Kampagne von Kaspersky ernst nimmt, findet in diesem Leitfaden konkrete Schutzmaßnahmen – von der Erkennung getarnter VBScript-Anhänge bis zur Härtung der Benutzerkontensteuerung. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
Öffnet ein Nutzer die Datei auf einem Windows-System, startet eine komplexe Infektionskette. Im ersten Schritt legt das Skript ein Arbeitsverzeichnis im öffentlichen Dokumentenordner an und lädt weitere Schadcode-Komponenten nach.
Die zweite Stufe zielt darauf ab, die Systemkontrolle zu umgehen. Die Forscher beobachteten, dass die Skripte versuchen, die Windows-Benutzerkontensteuerung (UAC) zu manipulieren. Indem sie den Wert „ConsentPromptBehaviorAdmin" auf null setzen, unterdrücken sie sämtliche Administrationshinweise – das System wird quasi blind für weitere Eingriffe.
Am Ende der Kette installieren die Angreifer eine legitime Remote-Management-Software (RMM), konkret ManageEngine Endpoint Central. Der Trick: Ein eigentlich für Administratoren gedachtes Werkzeug wird für unbefugte Fernzugriffe missbraucht. Normale Sicherheitssoftware erkennt das Programm oft nicht als Bedrohung, da es als valides Verwaltungstool gilt.
Geografische Schwerpunkte und technische Details
Die Kampagne hat globale Reichweite, doch ein Land sticht besonders hervor: Malaysia – hier liegen rund 80 Prozent aller registrierten Infektionen. Weitere betroffene Regionen sind Brasilien, Indien, Mexiko, Singapur, Großbritannien, Spanien, Taiwan, Australien, Russland und Vietnam.
Die Analyse der Kommando- und Kontroll-Infrastruktur (C2) förderte bemerkenswerte Parallelen zutage. Die verwendeten IP-Adressen überschneiden sich mit jenen, die bereits in früheren Kampagnen der Schadsoftware-Familien ValleyRAT und Gh0st RAT zum Einsatz kamen.
Die Skripte selbst sind durch verschiedene Verschleierungstechniken geschützt: Zeichenkettenverkettung, codierte VBScript-Abschnitte und zufällig generierte Variablennamen erschweren die Analyse.
Anzeige: Gekaperte WhatsApp-Accounts täuschen Vertrauenswürdigkeit vor – Ihre Mitarbeiter sind das Einfallstor. Dieser Report zeigt, wie Sie mit RMM-Tool-Missbrauch umgehen und unbefugten Fernzugriff verhindern. Sicherheits-Leitfaden jetzt sichern
Schutz vor der neuen Bedrohung
Die wahre Gefahr dieser Kampagne liegt in der Nutzung kompromittierter Accounts. Da die Nachrichten von vertrauten Kontakten zu stammen scheinen, sinkt die natürliche Vorsicht der Empfänger erheblich. Sicherheitsexperten raten daher zu erhöhter Wachsamkeit – selbst bei Anhängen von bekannten Absendern.
Organisationen sollten ihre Mitarbeiter für diese Taktik sensibilisieren und technische Schutzmaßnahmen wie die Deaktivierung von Makros in Office-Dokumenten sowie die Einschränkung von Skriptausführungen auf Endgeräten prüfen.
