Microsoft hat eine großangelegte Malware-Kampagne entdeckt, die Windows-Nutzer über WhatsApp angreift. Die Angreifer schleusen über den Messenger bösartige Skripte ein, um die vollständige Kontrolle über die Computer zu erlangen. Diese Attacke markiert eine neue Eskalationsstufe bei Cyberangriffen über Desktop-Messenger.
Die Kampagne operiert bereits seit Ende Februar im Verborgenen. Microsoft Defender Experts konnte sie erst jetzt in vollem Umfang analysieren. Im Fokus stehen Visual Basic Script-Dateien (VBS), die als harmlose Anhänge getarnt sind. Beim Öffnen startet eine mehrstufige Infektionskette, die herkömmliche Sicherheitslösungen umgeht.
Hacker nutzen immer raffiniertere Methoden, um unbemerkt Spionage-Programme auf Windows-Rechnern zu installieren. Wie Sie Ihren PC effektiv vor diesen unsichtbaren Bedrohungen schützen, erfahren Sie in diesem kostenlosen Experten-Report. Gratis Anti-Virus-Paket jetzt herunterladen
Vom Klick zur Systemübernahme
Die Angreifer setzen auf raffinierte Social-Engineering-Taktiken. Sie versenden Nachrichten, die von bekannten Kontakten oder aus geschäftlichem Kontext zu stammen scheinen. Enthaltene VBS-Dateien erhalten beim Anklicken sofort Zugriff auf Windows. Ziel ist es, eine Brücke zwischen Messenger und Betriebssystem zu schlagen.
Nach der Ausführung erstellt die Malware versteckte Verzeichnisse. Besonders besorgniserregend: Sie nutzt „Living-off-the-Land“-Techniken. Dabei werden legitime Windows-Werkzeuge wie „curl.exe“ für schädliche Zwecke missbraucht. Die Tools kopieren die Angreifer und speichern sie unter irreführenden Namen wie „netapi.dll“ neu ab. So wirken die Prozesse wie normale Systemvorgänge.
Wie die Malware Schutzprogramme austrickst
Ein zentrales Element ist die Umgehung der Benutzerkontensteuerung (UAC). Die Malware erhöht ihre Berechtigungen auf Systemebene, ohne die üblichen Warnmeldungen auszulösen. Das Skript manipuliert Registrierungseinträge, um künftige UAC-Abfragen zu unterdrücken. So können die Angreifer tiefgreifende Änderungen vornehmen, die auch nach einem Neustart bestehen bleiben.
Ein verräterisches Detail: Die umbenannten Dateien behalten ihre ursprünglichen Metadaten. Sicherheitslösungen erkennen so, dass „netapi.dll“ in Wirklichkeit „curl.exe“ ist. Doch diese Entdeckung reicht oft nicht aus, um den Angriff in Echtzeit zu stoppen. Die weiteren Befehle erfolgen über verschlüsselte und verschleierte Skripte.
Cloud-Dienste als Trojanisches Pferd
Um die Entdeckung zu erschweren, nutzt die Kampagne etablierte Cloud-Infrastrukturen. Die nachgeladenen Schadteile bezieht sie von Anbietern wie Amazon Web Services oder Tencent Cloud. Für Netzwerk-Sicherheitstools sieht dieser Datenverkehr wie gewöhnlicher Cloud-Zugriff aus. Das erschwert die Identifizierung massiv.
Am Ende der Infektionskette installiert die Malware unsignierte Microsoft-Installer-Pakete (MSI). Diese richten Backdoors und Fernzugriffs-Software ein. Die Cyberkriminellen behalten so dauerhaften Zugriff auf den infizierten PC. Dieser Zugriff dient nicht nur zum Diebstahl persönlicher Daten. Er kann auch als Ausgangspunkt für Angriffe auf Firmennetzwerke genutzt werden, wenn der Computer beruflich verwendet wird.
So schützen Sie sich vor der Attacke
Angesichts der Bedrohung raten Sicherheitsexperten zu sofortigen Maßnahmen. Microsoft empfiehlt, den Microsoft Defender und andere Antiviren-Lösungen aktuell zu halten. Die Signaturen für die Kampagne – mit Erkennungsnamen wie „Trojan:VBS/Obfuse.KPP!MTB“ – werden kontinuierlich aktualisiert.
Der wichtigste Schutzfaktor ist die Sensibilisierung der Nutzer. Anhänge in WhatsApp-Nachrichten sollten niemals ungeprüft geöffnet werden – selbst von scheinbar bekannten Absendern. Für Unternehmen ist der Einsatz von Attack Surface Reduction (ASR)-Regeln sinnvoll. Diese können so konfiguriert werden, dass sie die Ausführung von VBScript-Dateien generell blockieren.
Da herkömmliche Passwörter oft die erste Schwachstelle bei Konten-Hacks sind, empfehlen Experten den Wechsel auf sicherere Alternativen. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Passkey-Technologie für Dienste wie WhatsApp und Amazon einfach einrichten. Kostenlosen Passkey-Guide sichern
Experten betonen zudem: Die Nutzung der offiziellen WhatsApp-App aus dem Microsoft Store ist sicherer als veraltete Desktop-Versionen. Neuere Versionen verfügen oft über verbesserte Sicherheitsmechanismen für Anhänge.
Messenger als neues Einfallstor
Die aktuelle Kampagne reiht sich in einen besorgniserregenden Trend ein. Messenger-Plattformen werden zunehmend zur Verteilung von Desktop-Malware genutzt. Während WhatsApp auf Mobilgeräten durch Sandboxing relativ gut geschützt ist, bietet die Windows-Desktop-Anwendung eine größere Angriffsfläche.
Angreifer setzen heute weniger auf technische Schwachstellen in der App selbst. Stattdessen kombinieren sie menschliches Vertrauen mit den mächtigen Bordmitteln von Windows. Vergleiche mit früheren Angriffswellen wie „Water Saci“ aus dem Jahr 2025 zeigen die Weiterentwicklung. Die aktuelle Nutzung von VBS-Skripten und Cloud-Hosting ist deutlich schwerer zu entdecken als einfache ZIP-Archive mit Schadsoftware.
Analysten gehen davon aus, dass Meta, das Mutterunternehmen von WhatsApp, bald weitere serverseitige Sicherheitsupdates implementieren wird. Diese sollen das Versenden potenziell gefährlicher Dateitypen weiter einschränken.
Was in Zukunft droht
In den kommenden Wochen ist mit einer weiteren Verfeinerung der Angriffsmethoden zu rechnen. Sicherheitsforscher erwarten, dass die Hintermänner ihre Skripte noch besser verschleiern werden. So wollen sie auch die neuesten Erkennungsmechanismen umgehen.
Es ist wahrscheinlich, dass ähnliche Taktiken bald auch auf anderen Plattformen wie Telegram oder Signal auftauchen. Voraussetzung ist, dass diese als Desktop-Anwendungen genutzt werden. Langfristig wird die Sicherheit wohl nur durch eine striktere Trennung der App-Inhalte vom Betriebssystem gewährleistet werden können.
Bis Microsoft und Meta eine sicherere Umgebung für Dateitransfers geschaffen haben, bleibt die Wachsamkeit der Nutzer der wichtigste Verteidigungswall. Die aktuelle Warnung erinnert deutlich: Digitale Kommunikation auf dem Desktop birgt Risiken, die über den reinen Nachrichtenaustausch hinausgehen.
