Mastodon Mastodon Mastodon Mastodon

Wie ueber WhatsApp Desktop und Web VBScript RMM-Zugriff einschleust

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Nach Angaben der Forschenden Kaspersky wurde eine aktive Kampagne entdeckt, bei der ueber private Nachrichten WhatsApp boesartige Visual Basic Script (VBScript)-Dateien verteilt werden, die eine mehrstufige Infektionskette starten mit der endgueltigen Installation des legitimen Remote-Management-Werkzeugs ManageEngine RMM Central. Die Kampagne betrifft Nutzer von WhatsApp Desktop und WhatsApp Web in 11 Laendern – Malaysia, Brasilien, Indien, Mexiko, Singapur, Grossbritannien, Spanien, Taiwan, Australien, Russland und Vietnam; die hoechste Konzentration von Opfern wurde in Malaysia verzeichnet. Nutzern beider WhatsApp-Versionen wird empfohlen, keine Skript-Anhaenge zu oeffnen, selbst wenn sie von bekannten Kontakten stammen.

Mechanismus der initialen Infektion

Den Berichten zufolge haben die Angreifer mutmasslich unautorisierten Zugriff auf eine Reihe von WhatsApp-Konten erlangt und diese genutzt, um boesartige Dateien an die Kontaktlisten der Opfer zu versenden. Die genaue Methode zur Kompromittierung der Accounts ist derzeit unbekannt – dies ist eine wesentliche Luecke im Verstaendnis der Kampagne und laesst keine zuverlaessige Einschaetzung der Groessenordnung des initialen Vektors zu.

Die VBScript-Dateien tarnen sich als geschaeftliche und finanzielle Dokumente mit Namen wie «Financial Reports.vbs» oder «Account Statement.vbs». Einige Samples tragen Dateinamen auf Portugiesisch, Franzoesisch, Deutsch und Malaiisch, was die globale Ausrichtung der Operation widerspiegelt. Es wird darauf gesetzt, dass der Empfaenger den Anhang fuer ein legitimes Dokument eines bekannten Absenders haelt und oeffnet.

Technische Infektionskette

Das Verhalten der Infektionskette unterscheidet sich je nach Plattform:

  • WhatsApp Web: Der Angriff erfordert, dass der Nutzer die Datei selbst herunterlaedt und sie aus dem Download-Ordner oder ueber den Download-Verlauf des Browsers oeffnet.
  • WhatsApp Desktop: Der boesartige Code wird direkt innerhalb der Anwendung ausgefuehrt – der Prozess WhatsApp.Root.exe startet WScript.exe, das anschließend das Skript ausfuehrt.

Das zweite Szenario ist besonders bemerkenswert: Faktisch wird der legitime Prozess des Desktop-Clients von WhatsApp zum Elternprozess des Windows-Skriptinterpreters. Dies kann die Erkennung durch Monitoring-Loesungen erschweren, die das Starten von WScript.exe durch Messenger-Prozesse nicht ueberwachen.

Den Forschenden zufolge sind die VBScript-Dateien selbst stark verschleiert und enthalten umfangreiche Kommentare und Metadaten, die legitime Komponenten von Microsoft-Windows-Updates imitieren. Auffaellig ist, dass viele dieser Kommentare auf Chinesisch verfasst sind und auf Windows-Update-Module, Zertifikatspruefungen, Integritaetskontrollen des Systems und Deployment-Funktionen verweisen. Dies kann sowohl ein Hinweis auf die Herkunft des Toolsets sein als auch ein bewusst gesetzter Versuch einer falschen Attribution.

Ausfuehrungsphasen

Nach dem Start ueber WScript.exe laedt das primaere VBScript von einem entfernten Server zwei sekundäre Skripte nach:

  1. UAC-Bypass-Modul — versucht, das Verhalten des Windows-Mechanismus User Account Control (UAC) zu aendern, was fuer eine Rechteerhoehung ohne Anzeige der ueblichen Bestaetigungsabfrage erforderlich ist.
  2. RMM-Loader — laedt ein ZIP-Archiv mit dem Installationspaket von ManageEngine RMM Central herunter und entpackt es, wodurch der Angreifer vollstaendigen Remotezugriff auf das System des Opfers erhaelt.

Der Einsatz eines legitimen Remote-Administration-Tools ist ein typisches Vorgehen, um Antivirus-Erkennung zu umgehen: Der RMM-Agent ist fuer sich genommen keine Malware und wird in Unternehmensumgebungen haeufig als vertrauenswuerdige Software gefuehrt.

Bedrohungskontext und Attribution

Die Kampagne ist bislang keiner konkreten Gruppierung zugeordnet. Kaspersky weist auf eine Ueberschneidung in der Infrastruktur hin – die IP-Adresse 202.61.160[.]201 – mit frueheren Aktivitaeten, die mit Gh0st RAT und ValleyRAT in Verbindung gebracht wurden. Allerdings reicht eine uebereinstimmende Infrastruktur allein nicht fuer eine belastbare Attribution aus: IP-Adressen koennen von verschiedenen Gruppen wiederverwendet, bei denselben Hosting-Providern gemietet oder gezielt genutzt werden, um eine falsche Spur zu legen.

Es ist zu beachten, dass zum Zeitpunkt der Veroeffentlichung weder von Meta (dem Eigentuemer von WhatsApp) noch von ManageEngine eine offizielle Bestaetigung oder Stellungnahme zu dieser Kampagne vorliegt. Saemtliche technischen Details basieren auf der Untersuchung von Kaspersky.

Bewertung der Auswirkungen

Die Kampagne stellt aus mehreren Gruenden ein erhoehtes Risiko dar:

  • Vertrauen in den Absender: Nachrichten stammen von kompromittierten Konten realer Kontakte, was die Wahrscheinlichkeit, dass ein Anhang geoeffnet wird, deutlich erhoeht.
  • Grosse geografische Verbreitung: Die Abdeckung von 11 Laendern auf vier Kontinenten mit mehrsprachigen Koedern spricht fuer eine umfangreiche und gut vorbereitete Operation.
  • Legitimität des finalen Werkzeugs: ManageEngine RMM Central ist ein kommerzielles Produkt, das nicht als Malware erkannt wird, was die Entdeckung einer Kompromittierung erschwert.
  • Besonderheit von WhatsApp Desktop: Das automatische Starten von WScript.exe aus dem Messenger-Prozess heraus schafft einen fuer den Nutzer weniger offensichtlichen Ausfuehrungsvektor.

Schutzempfehlungen

  • Blockierung von Skript-Erweiterungen: Konfigurieren Sie Gruppenrichtlinien oder Endpoint-Schutzloesungen so, dass die Ausfuehrung von Dateien mit den Erweiterungen .vbs, .vbe, .js, .bat, .cmd, .ps1, .exe, die ueber Messenger eingehen, blockiert wird.
  • Monitoring des Prozessbaums: Richten Sie EDR-Regeln ein, um Faelle zu erkennen, in denen WhatsApp.Root.exe WScript.exe oder cscript.exe startet – dies ist ein anomales Verhalten.
  • Kontrolle der RMM-Installation: Falls ManageEngine RMM Central in Ihrer Organisation nicht genutzt wird, setzen Sie seine Installationspakete auf die Blacklist der Anwendungen. Wird es genutzt, sollten Sie unautorisierte Installationen neuer Agenten ueberwachen.
  • Monitoring von UAC-Aenderungen: Ueberwachen Sie Aenderungen an Registrierungsschluesseln, die mit den Einstellungen der User Account Control zusammenhaengen, insbesondere EnableLUA und ConsentPromptBehaviorAdmin.
  • Verifizierung von Anhaengen: Wenn Sie unerwartete Dateien ueber WhatsApp erhalten – selbst von bekannten Absendern – nehmen Sie ueber einen alternativen Kanal Kontakt auf, um die Authentizitaet zu bestaetigen.

Organisationen, die WhatsApp fuer dienstliche Kommunikation nutzen, wird empfohlen, umgehend zu ueberpruefen, ob sich unautorisierte RMM-Agenten auf Arbeitsstationen befinden, und Erkennungsregeln fuer das Starten von Skriptinterpreter-Prozessen aus Messenger-Prozessen zu konfigurieren. Den Indikator einer Kompromittierung – die IP-Adresse 202.61.160[.]201 – sollten sie in die Blocklisten der Netzwerkschutzloesungen aufnehmen, um Verbindungen zur Command-&-Control-Infrastruktur praeventiv zu unterbinden.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen