### WhatsApp als Vektor für Malware **Microsoft** macht auf eine neue Kampagne aufmerksam, die **WhatsApp**-Nachrichten zur Verbreitung bösartiger Visual Basic Script (VBS)-Dateien nutzt. Die Aktivität, die Ende Februar 2026 begann, verwendet diese Skripte, um eine mehrstufige Infektionskette zur Etablierung von Persistenz und zur Ermöglichung von Fernzugriff zu initiieren. Die spezifischen Köder, die verwendet werden, um Benutzer zur Ausführung der Skripte zu verleiten, sind unbekannt. ### Living-off-the-Land-Taktiken "Die Kampagne stützt sich auf eine Kombination aus Social Engineering und Living-off-the-Land-Techniken", so das **Microsoft Defender** Security Research Team. "Sie verwendet umbenannte Windows-Dienstprogramme, um sich in die normale Systemaktivität einzufügen, ruft Payloads von vertrauenswürdigen Cloud-Diensten wie **AWS**, **Tencent Cloud** und **Backblaze B2** ab und installiert bösartige **Microsoft** Installer (MSI)-Pakete, um die Kontrolle über das System aufrechtzuerhalten." Die Verwendung legitimer Tools und vertrauenswürdiger Plattformen ermöglicht es den Bedrohungsakteuren, sich in die normale Netzwerkaktivität einzufügen und die Erfolgswahrscheinlichkeit zu erhöhen. ### Infektionskette Die Aktivität beginnt damit, dass die Angreifer bösartige VBS-Dateien über **WhatsApp**-Nachrichten verbreiten. Nach der Ausführung erstellen diese Dateien versteckte Ordner in `C:\ProgramData` und legen umbenannte Versionen legitimer Windows-Dienstprogramme wie `curl.exe` (umbenannt in `netapi.dll`) und `bitsadmin.exe` (umbenannt in `sc.exe`) ab.  ### Persistenz und Privilegieneskalation Nachdem ein erster Fuß gefasst wurde, zielen die Angreifer darauf ab, Persistenz zu etablieren und Privilegien zu eskalieren, um schließlich bösartige MSI-Pakete auf den Systemen der Opfer zu installieren. Dies wird durch das Herunterladen von unterstützenden VBS-Dateien, die auf **AWS S3**, **Tencent Cloud** und **Backblaze B2** gehostet werden, unter Verwendung der umbenannten Binärdateien erreicht. ### UAC-Bypass und MSI-Bereitstellung "Sobald die sekundären Payloads vorhanden sind, beginnt die Malware mit der Manipulation der User Account Control (UAC)-Einstellungen, um die Systemabwehr zu schwächen", so **Microsoft**. "Sie versucht kontinuierlich, `cmd.exe` mit erhöhten Rechten zu starten und wiederholt dies, bis die UAC-Erhöhung erfolgreich ist oder der Prozess zwangsweise beendet wird, wobei Registrierungseinträge unter `HKLM\Software\Microsoft\Win` modifiziert und Persistenzmechanismen eingebettet werden, um sicherzustellen, dass die Infektion Systemneustarts überlebt." Diese Aktionen ermöglichen es den Bedrohungsakteuren, erhöhte Privilegien ohne Benutzerinteraktion zu erlangen, durch eine Kombination aus Registry-Manipulation mit UAC-Bypass-Techniken, und schließlich unsignierte MSI-Installer bereitzustellen. Dazu gehören legitime Tools wie **AnyDesk**, die Angreifern persistenten Fernzugriff ermöglichen und es ihnen erlauben, Daten zu exfiltrieren oder weitere Malware bereitzustellen. ### Hochentwickelte Techniken "Diese Kampagne demonstriert eine hochentwickelte Infektionskette, die Social Engineering (**WhatsApp**-Lieferung), Stealth-Techniken (umbenannte legitime Tools, versteckte Attribute) und Cloud-basiertes Payload-Hosting kombiniert", so **Microsoft**.