MalwareSchwachstellenHackerangriffe

Gefährliche WhatsApp-Kampagne: Microsoft warnt vor VBS-Malware mit UAC-Bypass

Gefährliche WhatsApp-Kampagne: Microsoft warnt vor VBS-Malware mit UAC-Bypass
Zusammenfassung

In einer neuen Kampagne, die seit Ende Februar 2026 aktiv ist, verbreiten Cyberkriminelle über WhatsApp-Nachrichten bösartige Visual-Basic-Script-Dateien (VBS), um Windows-Systeme zu kompromittieren. Die Malware nutzt eine mehrstufige Infektionskette, die mit Social Engineering und sogenannten „Living-off-the-Land"-Techniken arbeitet – dabei werden legitime Windows-Dienstprogramme umbenannt und vertrauenswürdige Cloud-Services wie AWS, Tencent Cloud und Backblaze B2 missbraucht, um Schadcode zu laden. Besonders besorgniserregend ist die Umgehung der Windows-Benutzerkontensteuerung (UAC), die es Angreifern ermöglicht, privilegierte Befehle auszuführen und bösartige Installer zu platzieren, etwa für Remote-Access-Tools wie AnyDesk. Für deutsche Nutzer und Unternehmen stellt diese Kampagne eine erhebliche Gefahr dar, da WhatsApp weit verbreitet ist und die Täuschung durch täuschend echt wirkende Dateien und Prozesse schwer zu erkennen ist. Besonders Firmennetzwerke könnten zum Ziel werden, um an sensible Daten zu gelangen oder weitere Malware einzuschleusen. Vorsicht bei unerwarteten Dateianhängen in WhatsApp-Nachrichten ist dringend geboten.

Die neu entdeckte Malware-Kampagne zeigt ein hohes Maß an Raffinesse und Planung. Alles beginnt damit, dass Cyberkriminelle über WhatsApp-Nachrichten bösartige VBS-Dateien verteilen. Bislang ist unklar, welche Köder die Angreifer verwenden, um Nutzer zum Ausführen dieser Skripte zu bewegen. Dies deutet darauf hin, dass möglicherweise gezielt recherchierte oder social-engineered Nachrichten zum Einsatz kommen.

Sobald die Malware ausgeführt wird, beginnt sie mit der Etablierung einer versteckten Infrastruktur. Die Schadsoftware erstellt verborgene Ordner im Windows-Verzeichnis “C:\ProgramData” und platziert dort umbenannte Versionen legitimer Windows-Werkzeuge. Besonders tückisch: Das bekannte “curl.exe” wird als “netapi.dll” getarnt, “bitsadmin.exe” als “sc.exe”. Diese Verschleierung ermöglicht es der Malware, im normalen Systemverkehr unterzugehen und damit erheblich schwerer zu entdecken zu sein.

Der nächste kritische Schritt ist die Ausweitung der Kontrolle über das System. Die Malware lädt zusätzliche bösartige VBS-Dateien von den genannten Cloud-Diensten herunter und nutzt dafür die umbenannten legitimen Tools. Dadurch entsteht der Eindruck, dass es sich um normalen Systemverkehr handelt – ein klassischer “Living-off-the-Land”-Ansatz.

Besonders gefährlich ist die UAC-Bypass-Technik. Microsoft berichtet, dass die Malware gezielt die User Account Control manipuliert und die Registry unter “HKLM\Software\Microsoft\Win” modifiziert. Das System versucht wiederholt, “cmd.exe” mit erhöhten Rechten zu starten, bis dies erfolgreich ist. Diese Persistent-Mechanismen stellen sicher, dass die Infektion auch nach einem Neustart bestehen bleibt.

Hat die Malware erst einmal administrative Rechte erlangt, installiert sie unsignierte MSI-Pakete. Dabei kommen auch legitime Tools wie AnyDesk zum Einsatz, die den Angreifern permanenten Remote-Zugriff auf das System geben. Damit können sie Daten exfiltrieren oder zusätzliche Malware nachladen.

Das Besondere dieser Kampagne liegt in der Kombination mehrerer Angriffsvektoren: Social Engineering über einen populären Messenger, Verschleierung durch bekannte Tools, Nutzung vertrauenswürdiger Cloud-Infrastruktur und schließlich systemtiefe Manipulation. Für Nutzer und IT-Administratoren ist diese Bedrohung erheblich, da sie bei einer erfolgreichen Infektion vollständige Kontrolle über das System bedeutet. Deutsche Unternehmen sollten ihre Mitarbeiter sensibilisieren und auf verdächtige WhatsApp-Nachrichten hinweisen.

Ähnliche Artikel