### マルウェアのベクトルとしてのWhatsApp **Microsoft**は、悪意のあるVisual Basic Script（VBS）ファイルを配布するために**WhatsApp**メッセージを悪用した新たなキャンペーンに注目しています。2026年2月下旬に始まったこの活動は、これらのスクリプトを使用して、永続化とリモートアクセスの有効化を目的とした多段階の感染チェーンを開始します。ユーザーをスクリプト実行に誘導するために使用された具体的な誘い文句は不明のままです。 ### Living-off-the-Land戦術 「このキャンペーンは、ソーシャルエンジニアリングとLiving-off-the-Land技術の組み合わせに依存しています」と、**Microsoft Defender** Security Research Teamは述べています。「リネームされたWindowsユーティリティを使用して通常のシステムアクティビティに紛れ込ませ、**AWS**、**Tencent Cloud**、**Backblaze B2**などの信頼できるクラウドサービスからペイロードを取得し、悪意のある**Microsoft** Installer（MSI）パッケージをインストールしてシステムを制御下に置きます。」 正規のツールと信頼できるプラットフォームの使用は、攻撃者が通常のネットワークアクティビティに紛れ込み、成功の可能性を高めることを可能にします。 ### 感染チェーン この活動は、攻撃者が**WhatsApp**メッセージを介して悪意のあるVBSファイルを配布することから始まります。実行されると、これらのファイルは`C:\ProgramData`に隠しフォルダを作成し、`curl.exe`（`netapi.dll`にリネーム）や`bitsadmin.exe`（`sc.exe`にリネーム）のような正規のWindowsユーティリティのリネームされたバージョンをドロップします。  ### 永続化と権限昇格 初期の足がかりを得ると、攻撃者は永続化を確立し、権限を昇格させることを目指し、最終的に被害者システムに悪意のあるMSIパッケージをインストールします。これは、リネームされたバイナリを使用して、**AWS S3**、**Tencent Cloud**、**Backblaze B2**でホストされている補助的なVBSファイルをダウンロードすることによって達成されます。 ### UACバイパスとMSI展開 「セカンダリペイロードが配置されると、マルウェアはユーザーアカウント制御（UAC）設定を改ざんしてシステム防御を弱めます」と**Microsoft**は述べています。「UAC昇格が成功するか、プロセスが強制終了されるまで、権限昇格を伴って`cmd.exe`を起動しようとし続けます。これは、`HKLM\Software\Microsoft\Win`下のレジストリエントリを変更し、感染がシステム再起動後も持続するように永続化メカニズムを埋め込むことによって行われます。」 これらのアクションにより、攻撃者はレジストリ操作とUACバイパス技術の組み合わせを通じてユーザーの操作なしに昇格された権限を取得し、最終的に署名されていないMSIインストーラーを展開できます。これには、攻撃者に永続的なリモートアクセスを提供し、データの漏洩やさらなるマルウェアの展開を可能にする**AnyDesk**のような正規のツールが含まれます。 ### 洗練された技術 「このキャンペーンは、ソーシャルエンジニアリング（**WhatsApp**配信）、ステルス技術（リネームされた正規ツール、隠し属性）、およびクラウドベースのペイロードホスティングを組み合わせた洗練された感染チェーンを示しています」と**Microsoft**は述べています。