Die Angreifer nutzen kompromittierte Konten, um schädliche VBScript-Dateien zu verbreiten. Ziel ist der unbefugte Fernzugriff auf die Systeme der Opfer.
Infektion über vertraute Absender
Die Kampagne setzt auf eine perfide Taktik: Die Malware wird über bereits gekaperte Kontakte versendet. Das senkt die Hemmschwelle für den Download erheblich. Wer würde schon eine Rechnung oder Mahnung vom eigenen Geschäftspartner anzweifeln?
Anzeige: Wer von vertrauten Kontakten unerwartet eine Rechnung oder Mahnung per WhatsApp erhält, sollte misstrauisch sein – Kaspersky warnt vor einer aktiven Malware-Kampagne mit .vbs-Dateien. In diesem Leitfaden erfahren Sie, wie Sie die Infektion erkennen und Ihre Sicherheitseinstellungen optimieren. Jetzt kostenlosen Schutz-Leitfaden anfordern
Die schädlichen Anhänge tarnen sich als legitime Geschäftsdokumente. Die Liste reicht von Rechnungen über Kontoauszüge bis zu Mahnungen. Die Dateien liegen in mehreren Sprachen vor – darunter Deutsch, Englisch, Französisch, Portugiesisch und Malaysisch.
Mehrstufige Angriffssequenz
Öffnet ein Nutzer die VBScript-Datei, startet eine komplexe Infektionskette. Das Skript erstellt zunächst ein verstecktes Verzeichnis auf dem Windows-System. Von dort laden die Angreifer weitere Schadkomponenten nach und führen sie über den Windows Script Host aus.
Ein Teil der Malware zielt gezielt auf die Benutzerkontensteuerung (UAC). Die Angreifer deaktivieren sie, um administrative Eingriffe ohne Zustimmung des Nutzers durchzuführen.
Malaysia als Epizentrum
Die Kampagne ist global ausgerichtet, zeigt aber deutliche regionale Schwerpunkte. Rund 80 Prozent der Infektionen entfallen auf Malaysia. Weitere Opfer finden sich in Brasilien, Indien, Mexiko, Singapur, Spanien und Großbritannien. Auch deutsche Nutzer sind aufgrund lokalisierter Dateinamen potenzielle Ziele.
Die Angreifer installieren Fernwartungssoftware auf den infizierten Rechnern. Im aktuellen Fall nutzen sie ManageEngine Endpoint Central – eine legitime Anwendung, die sie für ihre Zwecke missbrauchen. Verbindungen zu Servern, die früher mit der Schadsoftware ValleyRAT in Verbindung standen, wurden festgestellt. Eine eindeutige Zuordnung zu einer bekannten Gruppe liegt aber nicht vor.
WhatsApp setzt auf Rust
Die Entdeckung fällt in eine Phase massiver Sicherheitsupdates bei Messenger-Diensten. WhatsApp stellt die Medienverarbeitung für rund drei Milliarden Endgeräte auf die Programmiersprache Rust um. Der Wechsel von C++ zu Rust soll speicherbezogene Sicherheitslücken drastisch reduzieren. Google konnte durch ähnliche Maßnahmen bei Android die Zahl solcher Schwachstellen zwischen 2019 und Ende 2025 bereits signifikant senken.
Anzeige: KI-gestützte Betrugsmaschen nehmen rasant zu – fast zwei Drittel der Betroffenen vermuten mittlerweile KI-Einsatz hinter Angriffen. Dieser Report zeigt Ihnen die 5 wichtigsten Warnsignale für Phishing über WhatsApp und wie Sie sich mit wenigen Klicks schützen. Phishing-Warnsignale jetzt sichern
Parallel beobachten Experten eine Zunahme von Betrugsversuchen über WhatsApp. Aktuell kursieren personalisierte Phishing-Attacken, die auf einem Datenleck bei Booking.com aus dem April 2026 basieren. Angreifer geben sich als Hotelmitarbeiter aus und erbeuten Kreditkartendaten.
Eine Kaspersky-Studie zeigt zudem: Die Akzeptanz von KI-gestützten Betrugsmaschen steigt. Fast zwei Drittel der Betroffenen vermuten bei Cyberangriffen mittlerweile den Einsatz künstlicher Intelligenz.
Sicherheitsexperten raten zur besonderen Vorsicht bei unaufgeforderten Dateianhängen – selbst von bekannten Kontakten. Besonders Dateien mit der Endung .vbs sind im geschäftlichen Kontext unüblich und sollten misstrauisch machen.
