Sicherheitsforscher von Microsoft Defender haben eine neue, gezielte Malware-Kampagne aufgedeckt, bei der Angreifer schädliche VBS-Skripte über WhatsApp-Nachrichten verbreiten. Die Aktivität, die Ende Februar 2026 begann, kombiniert Social Engineering, den Missbrauch legitimer Windows-Tools und vertrauenswürdiger Cloud-Dienste, um sich unauffällig im System zu verankern und einen dauerhaften Remote-Zugriff auf kompromittierte Rechner aufzubauen.
Social Engineering über WhatsApp: Einstiegspunkt der VBS-Malware
Die Angriffskette startet mit einer Nachricht über den Messenger WhatsApp, die ein VBS-Skript im Anhang enthält. Üblicherweise tarnen Angreifer solche Dateien als Rechnungen, Lieferbenachrichtigungen oder „wichtige Updates“. Branchenberichte wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass der „Human Factor“ an einem Großteil erfolgreicher Angriffe beteiligt ist – diese Kampagne fügt sich exakt in dieses Muster ein.
Wird das VBS-Skript ausgeführt, legt es zunächst versteckte Verzeichnisse im Ordner C:\ProgramData an. In diesen Ordnern platziert die Malware umbenannte Kopien legitimer Windows-Komponenten. Dadurch ähneln die Artefakte unkritischer Systemaktivität, was die Entdeckung durch klassische signaturbasierte Antivirus-Lösungen deutlich erschwert.
Living-off-the-Land: Missbrauch legitimer Windows-Tools und Cloud-Speicher
Ein zentrales Merkmal der Kampagne ist der Einsatz von Living-off-the-Land (LotL)-Techniken. Dabei nutzen Angreifer vorhandene Bordmittel des Betriebssystems, anstatt auffällige, eigenständige Schadprogramme zu installieren. Das reduziert den „Malware-Footprint“ und erschwert die Erkennung durch Sicherheitslösungen, die primär nach unbekannten Binärdateien suchen.
Im vorliegenden Fall kopiert das VBS-Skript legitime Windows-Tools wie curl.exe und bitsadmin.exe und benennt sie um, etwa zu netapi.dll (für curl) oder sc.exe (für bitsadmin). Über diese tarnenden Dateinamen werden anschließend Verbindungen zu vertrauenswürdigen Cloud-Plattformen aufgebaut. Microsoft benennt unter anderem AWS S3, Tencent Cloud und Backblaze B2 als Quellen für weitere VBS-Skripte und Payloads.
Missbrauch vertrauenswürdiger Cloud-Dienste als Tarnung
Der Rückgriff auf große Cloud-Anbieter ist aus Angreifersicht strategisch sinnvoll. Domains wie AWS oder Backblaze gelten in vielen Unternehmen als vertrauenswürdig und werden oft pauschal freigegeben. Zudem erschwert HTTPS-verschlüsselter Traffic die Inspektion der Inhalte ohne spezialisierte Sicherheits-Gateways. Für Verteidiger bedeutet dies, dass eine reine Domain- oder IP-Blockierung nicht ausreicht, um solche Kampagnen zuverlässig zu stoppen.
UAC-Umgehung, Registry-Manipulation und dauerhafte Verankerung
Nachdem zusätzliche Komponenten aus der Cloud nachgeladen wurden, fokussieren sich die Angreifer auf Privilegienerweiterung und Persistenz. Dazu manipuliert die Malware Einstellungen der User Account Control (UAC), um Schutzmechanismen von Windows zu schwächen. Unter anderem werden Registry-Zweige wie HKLM\Software\Microsoft\Win verändert, um Prozesse künftig mit administrativen Rechten starten zu können, ohne dass der Benutzer explizit zustimmen muss.
In einer Schleife versucht das Skript wiederholt, cmd.exe mit Administratorrechten auszuführen. Durch diese Hartnäckigkeit erhöht sich die Wahrscheinlichkeit, dass es früher oder später gelingt, erhöhte Rechte zu erlangen – etwa dann, wenn Schutzmechanismen kurzfristig deaktiviert oder Fehlkonfigurationen vorhanden sind. Parallel werden Autostart-Einträge und persistente Mechanismen im System angelegt, sodass der Schadcode auch nach einem Neustart aktiv bleibt.
MSI-Pakete und Fernzugriff über AnyDesk
Sobald administrative Rechte gesichert sind, installiert die Kampagne MSI-Pakete, die sowohl eigene Malware-Komponenten als auch legitime Remote-Administration-Tools enthalten können. Hervorgehoben wird die Nutzung von AnyDesk, einer weit verbreiteten Software für Fernwartung. In einem Unternehmenskontext ist AnyDesk im regulären Einsatz unkritisch – unkontrolliert installiert, wird es jedoch zum effektiven Remote-Access-Kanal für Angreifer.
Laut Analyse kommen teilweise nicht signierte MSI-Pakete und manipulative UAC-Bypässe zum Einsatz, um Installationen ohne Wissen des Nutzers durchzuführen. Nach erfolgreicher Einrichtung können Angreifer kompromittierte Systeme vollständig fernsteuern, Dateien exfiltrieren, weitere Malware (inklusive Ransomware) verteilen und sich seitlich im Netzwerk zu weiteren Systemen bewegen.
Risiken für Unternehmen und Privatanwender
Die Kombination aus WhatsApp als Verbreitungskanal, vertrauenswürdigen Cloud-Diensten, LotL-Techniken und UAC-Manipulation erschwert die Erkennung auf mehreren Ebenen. Klassische E-Mail-Gateways greifen hier nicht, viele EDR-Lösungen tun sich mit rein legitimen Systemtools schwer, und der Netzwerkverkehr wirkt aufgrund der genutzten Cloud-Plattformen harmlos. Sowohl Unternehmen als auch Privatanwender laufen Gefahr, einen dauerhaften, schwer erkennbaren Kompromiss ihrer Systeme zu übersehen.
Empfohlene Schutzmaßnahmen gegen WhatsApp-VBS-Malware
Organisationen sollten den Ausführungs- und Installationspfad streng kontrollieren. Dazu gehören Skript-Restriktionen für VBS und PowerShell (z.B. Ausführung nur signierter Skripte), Application Allowlisting für MSI-Installer (z.B. per AppLocker oder Windows Defender Application Control) sowie eine klare Policy, dass Remote-Access-Tools wie AnyDesk oder TeamViewer nur zentral ausgerollt und überwacht werden dürfen.
Auf Netzwerkebene empfiehlt sich ein gezieltes Monitoring von curl, bitsadmin und vergleichbaren Tools, insbesondere wenn sie Verbindungen zu externen Cloud-Speichern aufbauen. Sicherheitslösungen wie Proxy, Cloud Access Security Broker (CASB) oder Next-Generation-Firewalls sollten in der Lage sein, verdächtige Download-Muster und ungewöhnliche Nutzung dieser Werkzeuge zu erkennen.
Ebenso wichtig ist Sensibilisierung: Anwender sollten darin geschult werden, keine Skripte oder ausführbaren Dateien aus WhatsApp oder anderen Messengern zu öffnen – selbst dann nicht, wenn sie scheinbar von bekannten Kontakten stammen. Ergänzend sollten lokale Administratorrechte auf Arbeitsplätzen minimiert und die UAC-Einstellungen unternehmensweit gehärtet werden, wie es etwa der BSI-Grundschutz und internationale Best Practices empfehlen.
Diese Kampagne macht deutlich, wie geschickt moderne Angriffe menschliche Schwächen, legitime Systemwerkzeuge und Cloud-Infrastrukturen kombinieren, um sich einer Erkennung zu entziehen. Wer das Risiko reduzieren will, sollte gerade jetzt seine Skript- und MSI-Richtlinien, den Einsatz von Remote-Access-Software und das Monitoring von Systemtools überprüfen, Sicherheitsupdates konsequent einspielen und Mitarbeitende regelmäßig zum sicheren Umgang mit Dateien und Links in Messengern schulen.
