Исследователи Microsoft Defender зафиксировали новую целенаправленную кампанию, в рамках которой злоумышленники распространяют вредоносные VBS-скрипты через сообщения WhatsApp. Обнаруженная активность, начавшаяся в конце февраля 2026 года, использует многоэтапную цепочку заражения для закрепления в системе и организации удалённого доступа к компьютеру жертвы.
Как начинается атака: социальная инженерия и WhatsApp
Первый этап кампании строится на социальной инженерии: жертве отправляется файл с расширением VBS в сообщении WhatsApp. Точный текст приманки неизвестен, однако подобные сценарии часто маскируются под документы, счета, курьерские уведомления или «важные обновления». По данным отраслевых отчётов (например, Verizon DBIR), до 80–90% успешных кибератак так или иначе используют человеческий фактор, и данный случай не является исключением.
После запуска скрипта на целевой системе создаются скрытые каталоги в директории C:\ProgramData. В них размещаются переименованные версии легитимных системных компонентов Windows, что позволяет атаке маскироваться под штатную активность и снижать вероятность обнаружения средствами защиты.
Использование легитимных утилит Windows и облаков (Living-off-the-Land)
Ключевая особенность кампании — активное применение подхода Living-off-the-Land (LotL), когда злоумышленники опираются на уже имеющиеся в системе и инфраструктуре легитимные инструменты. В данном случае:
Вредоносный VBS-скрипт копирует и переименовывает штатные утилиты Windows, такие как curl.exe и bitsadmin.exe. Они маскируются под другие имена — например, curl.exe становится netapi.dll, а bitsadmin.exe — sc.exe. Внешне это выглядит как обычные файлы, не вызывающие подозрений у пользователя или администратора.
С помощью этих переименованных бинарных файлов malware подключается к доверенным облачным сервисам, среди которых исследователи Microsoft отмечают AWS S3, Tencent Cloud и Backblaze B2. Оттуда загружаются дополнительные VBS-скрипты и файлы, формирующие следующие стадии заражения. Использование крупных легитимных платформ затрудняет блокировку трафика, так как такие домены обычно считаются безопасными и не фильтруются по умолчанию.
Обход UAC, модификация реестра и закрепление в системе
После успешной загрузки дополнительных компонентов злоумышленники переходят к эскалации привилегий и закреплению на атакуемом хосте. По данным Microsoft, malware:
Начинает менять параметры User Account Control (UAC), ослабляя системные защитные механизмы. Путём модификации веток реестра, в том числе HKLM\Software\Microsoft\Win, атака добивается возможности запускать процессы с повышенными правами без явного подтверждения пользователя.
В цикле предпринимаются попытки запуска cmd.exe с привилегиями администратора. Скрипт многократно пробует обойти UAC до тех пор, пока повышение привилегий не будет успешно либо процесс не будет остановлен вручную или защитным ПО. Такой «настойчивый» подход повышает шансы злоумышленников получить полный контроль над системой.
Параллельно в реестре и системных каталогах прописываются механизмы автозапуска, что обеспечивает сохранение заражения после перезагрузки. Это критичный этап, превращающий единичное срабатывание вредоносного скрипта в длительное присутствие атакующего в инфраструктуре.
Установка MSI-пакетов и удалённый доступ через AnyDesk
Получив административные права, злоумышленники переходят к установке вредоносных MSI-пакетов. При этом используются как собственные компоненты, так и легитимные, но неконтролируемо развернутые инструменты удалённого администрирования. В отчёте Microsoft отдельно упоминается AnyDesk, который в нормальных условиях применяется для удалённой поддержки и администрирования, однако в руках атакующих превращается в канал устойчивого удалённого доступа.
Отсутствие цифровой подписи у некоторых MSI-пакетов, а также обход UAC и модификация реестра позволяют установить такие решения без ведома пользователя. В результате злоумышленники получают возможность:
Осуществлять полноценное дистанционное управление заражённым устройством, выгружать конфиденциальные данные, устанавливать дополнительное ПО или развёртывать вторичный malware — от шифровальщиков до инструментов для латерального перемещения по сети.
Почему эта кампания опасна для организаций и частных пользователей
Данная атака сочетает сразу несколько факторов риска: массовый мессенджер WhatsApp как канал доставки, доверенные облачные сервисы как источник загрузки, легитимные утилиты Windows для выполнения команд и обход встроенных механизмов безопасности через UAC и реестр. Такой комплексный подход усложняет обнаружение на всех этапах — от почтовых и веб-шлюзов до EDR-решений, ориентированных на явные сигнатуры вредоносных файлов.
Чтобы снизить риски, компаниям и пользователям рекомендуется ограничивать запуск скриптов (VBS, PowerShell) из недоверенных источников, применить политику «белых списков» для MSI-инсталляторов, внимательно отслеживать установку и использование ПО удалённого доступа (TeamViewer, AnyDesk и др.), включая запрет самовольного развёртывания таких инструментов обычными пользователями. Корпоративным средам важно включить мониторинг активности утилит curl, bitsadmin и аналогичных средств, особенно при обращении к внешним облачным хранилищам.
