Дослідницька команда Microsoft Defender зафіксувала нову цільову кібератаку, в якій зловмисники поширюють шкідливі VBS-скрипти через повідомлення WhatsApp. Кампанія, що стартувала наприкінці лютого 2026 року, використовує багатоступеневий ланцюжок компрометації, поєднуючи соціальну інженерію, підхід Living-off-the-Land, довірені хмарні сервіси та встановлення інструментів віддаленого доступу для повного контролю над системою жертви.
Початковий вектор атаки: соціальна інженерія у WhatsApp
На першому етапі зловмисники роблять ставку на людський фактор. Користувач отримує у WhatsApp файл з розширенням .vbs — найчастіше під виглядом документа, рахунку, накладної, повідомлення від служби доставки чи нібито критичного оновлення. Відповідно до щорічних звітів на кшталт Verizon Data Breach Investigations Report, до 80–90% успішних атак так чи інакше починаються з помилки користувача, і ця кампанія демонструє типовий приклад такої тактики.
Після запуску VBS-скрипта на робочій станції створюються приховані каталоги в директорії C:\ProgramData. У них розміщуються перейменовані копії легітимних компонентів Windows, що дозволяє шкідливій активності маскуватися під штатні процеси операційної системи та знижує ймовірність спрацьовування традиційних антивірусних сигнатур.
Living-off-the-Land: використання легітимних утиліт Windows і хмарних сервісів
Ключова особливість цієї кібератаки — систематичне застосування підходу Living-off-the-Land (LotL), коли для досягнення цілей використовуються вже наявні у системі легітимні інструменти. Виявлений VBS-скрипт копіює стандартні утиліти Windows, зокрема curl.exe і bitsadmin.exe, та перейменовує їх: наприклад, curl.exe маскується під netapi.dll, а bitsadmin.exe — під sc.exe. Такі файли виглядають звично як для користувачів, так і для адміністраторів, тому часто залишаються поза увагою.
Через ці перейменовані виконувані файли malware встановлює з’єднання з довіреними хмарними платформами, серед яких Microsoft фіксує AWS S3, Tencent Cloud та Backblaze B2. Звідти поетапно завантажуються додаткові VBS-скрипти й допоміжні файли, що формують наступні стадії атаки. Оскільки трафік спрямований до популярних легітимних доменів, його блокування на мережевому рівні суттєво ускладнене — такі ресурси зазвичай вважаються безпечними й не фільтруються агресивно.
Обхід UAC, зміна реєстру та закріплення в системі
Після отримання початкового foothold зловмисники переходять до ескалації привілеїв і закріплення на хості. За спостереженнями Microsoft Defender, шкідливий код змінює параметри User Account Control (UAC), послаблюючи вбудовані захисні механізми Windows. Для цього модифікуються ключі реєстру, у тому числі в гілці HKLM\Software\Microsoft\Win, що дає змогу запускати критичні процеси з підвищеними правами без явного підтвердження користувача.
Окремий компонент скрипта в циклі намагається запустити cmd.exe з правами адміністратора, багаторазово випробовуючи різні варіанти обходу UAC. Така «настирлива» логіка значно підвищує шанси зловмисників здобути повний контроль над системою, якщо захисні рішення не виявлять аномальну поведінку на ранньому етапі.
Паралельно у системному реєстрі та службових каталогах створюються механізми автозапуску, які гарантують збереження зараження після перезавантаження пристрою. Саме цей етап перетворює одноразове відкриття шкідливого файлу в тривалу, стійку присутність зловмисника в інфраструктурі.
MSI-пакети та віддалений доступ через AnyDesk
Отримавши адміністративні привілеї, атакувальники завантажують і встановлюють шкідливі MSI-пакети. У хід ідуть як власні компоненти, так і легітимні, але неконтрольовано розгорнуті засоби віддаленого адміністрування. В опублікованому аналізі Microsoft окремо зазначається AnyDesk — популярний інструмент для легального віддаленого доступу, який у цьому сценарії перетворюється на канал стійкого керування скомпрометованою системою.
Частина MSI-пакетів не має дійсних цифрових підписів, а за рахунок обходу UAC та змін реєстру їх інсталяція відбувається без відома користувача. У результаті зловмисники отримують можливість повністю дистанційно керувати зараженою машиною, ексфільтрувати конфіденційні дані, розгортати додаткові інструменти — від програм для латерального переміщення мережею до шифрувальників ransomware.
Чому атака через WhatsApp і AnyDesk становить підвищений ризик
Ця кампанія поєднує одразу кілька факторів, які істотно ускладнюють виявлення інциденту: масовий месенджер WhatsApp як канал доставки payload, відомі хмарні сервіси як джерело завантаження, використання утиліт curl, bitsadmin та інших засобів Windows у рамках Living-off-the-Land, а також обхід UAC і модифікацію реєстру. Багато традиційних засобів захисту, орієнтованих на сигнатури та блокування «підозрілих» доменів, в таких умовах демонструють обмежену ефективність.
Практичні рекомендації: як захистити організацію і домашніх користувачів
Для зниження ризику компрометації експертна спільнота рекомендує обмежити виконання скриптів (VBS, PowerShell, JavaScript) з недовірених джерел, використовуючи політики груп, AppLocker або Windows Defender Application Control. Додатково варто впровадити політику «білих списків» для MSI-інсталяторів, дозволяючи встановлення лише перевірених і підписаних пакетів.
Організаціям доцільно жорстко контролювати використання програм віддаленого доступу, таких як AnyDesk, TeamViewer та аналогічні рішення: запровадити заборону на самостійне розгортання таких інструментів користувачами, вести централізований облік і моніторинг їх активності. Окрему увагу слід приділити журналюванню й аналізу запуску curl, bitsadmin та інших системних утиліт, особливо при підключенні до зовнішніх хмарних сховищ.
Користувачам важливо не відкривати та не запускати файли з розширенням .vbs, отримані через месенджери чи електронну пошту від невідомих або «підозріло активних» контактів, навіть якщо вкладення виглядає як звичайний документ чи рахунок. Регулярне навчання співробітників основам кібергігієни, багаторівневий захист робочих станцій та уважний моніторинг нетипової активності утиліт Windows залишаються критичними елементами стратегії безпеки в умовах, коли зловмисники все активніше маскують атаки під звичайну роботу системи.
