Microsoft-Sicherheitsexperten warnen vor einer neuen Malware-Kampagne über WhatsApp. Die Angreifer nutzen den Messenger, um Windows-PCs mit bösartigen Skripten zu infizieren und vollständig zu übernehmen. Die Kampagne kombiniert raffinierte Social-Engineering-Tricks mit modernsten Verschleierungstechniken.
Achtung: Diese unsichtbaren Spionage-Programme lauern gerade auf Ihrem Windows-PC. Sicherheitsexperten warnen vor den neuesten Bedrohungen – so schützen Sie sich sofort und kostenlos. Gratis-Ratgeber der PC-Experten jetzt herunterladen
WhatsApp-Nachrichten als trojanisches Pferd
Die Angreifer versenden Nachrichten mit scheinbar harmlosen Anhängen über WhatsApp. Dabei handelt es sich um präparierte Visual Basic Script-Dateien (VBS). Da die Nachrichten oft von bekannten – aber kompromittierten – Kontakten stammen, ist die Hemmschwelle zum Öffnen niedrig. Die Täter geben sich als dringende Dokumente oder wichtige Infos aus.
Sobald ein Nutzer die Datei auf seinem Windows-PC ausführt, beginnt eine komplexe Infektionskette. Die Kampagne zielt gezielt auf die Desktop- und Web-Version von WhatsApp ab, da diese direkt mit dem Dateisystem interagieren können. Das macht die Attacke besonders tückisch.
Versteckt im System: Die Living-off-the-Land-Taktik
Statt neuer Schadsoftware nutzt die Malware bereits vorhandene Windows-Werkzeuge für ihre Zwecke. Diese „Living-off-the-Land“-Taktik (LOTL) macht die Erkennung schwer. Programme wie curl.exe werden in versteckte Verzeichnisse kopiert und mit irreführenden Namen wie netapi.dll getarnt.
Doch die Tarnung hat einen Schwachpunkt: Die originalen Metadaten der Dateien bleiben erhalten. Moderne Sicherheitssysteme wie Microsoft Defender können diese Diskrepanz zwischen Namen und Herkunft erkennen. Herkömmliche Virenscanner, die nur nach bekannten Signaturen suchen, werden jedoch oft umgangen.
Warum immer mehr Windows-Nutzer auf dieses kostenlose Sicherheitspaket von Computerwissen schwören: Der Gratis-Ratgeber der PC-Experten macht Ihren Rechner zur Festung gegen Viren und Hacker. Anti-Virus-Paket kostenlos anfordern
Permanenter Zugriff via Cloud und MSI-Pakete
Die umbenannten System-Tools laden weitere Schadteile von etablierten Cloud-Diensten wie AWS oder Backblaze herunter. Da Datenverkehr zu diesen Plattformen meist als legitim gilt, fällt er kaum auf. So verschwindet die Kommunikation mit den Angreifern im normalen Internetrauschen.
Zum Schluss installiert die Malware bösartige Microsoft Installer-Pakete (MSI). Diese manipulieren Systemeinstellungen, ändern Registrierungsschlüssel und schwächen die Benutzerkontensteuerung ab. Das Ziel: Die dauerhafte Installation von Fernwartungssoftware wie AnyDesk. So behalten die Angreifer auch nach einem Neustart die Kontrolle über den PC.
Warum dieser Angriff so raffiniert ist
Die Kampagne markiert eine neue Stufe der Bedrohung über Messenger. Statt technischer Schwachstellen in WhatsApp selbst nutzen die Täter gezielt das Vertrauen der Nutzer aus. Die Kombination aus psychologischer Manipulation und dem Missbrauch legitimer Systemwerkzeuge macht die Abwehr komplex.
Die gezielte Wahl von VBS-Dateien und MSI-Paketen zeigt: Windows-Nutzer stehen im Fokus. Das Betriebssystem bietet eine größere Angriffsfläche für solche Skript-Attacken als mobile Systeme. Die professionelle Nutzung von Cloud-Infrastruktur deutet auf koordinierte Operationen hin, die lange unentdeckt bleiben sollen.
So schützen Sie sich vor der Attacke
Die wichtigste Regel: Öffnen Sie keine ausführbaren Dateien wie .vbs, .js oder .msi über WhatsApp – auch nicht von bekannten Kontakten. Aktivieren Sie in den WhatsApp-Einstellungen unter „Privatsphäre > Erweitert“ die „Strict Account Settings“. Diese Funktion schränkt die Verarbeitung riskanter Dateitypen ein.
Halten Sie Ihr Windows-Betriebssystem und Ihre Sicherheitssoftware stets aktuell. Moderne Antivirenprogramme erkennen LOTL-Angriffe besser. Seien Sie misstrauisch bei plötzlichen UAC-Abfragen oder einer verlangsamten PC-Performance nach dem Öffnen eines Anhangs. In solchen Fällen sollte sofort eine Überprüfung mit Sicherheitssoftware erfolgen.
