WhatsApp Desktop: VBS-Malware nutzt Cloud-Dienste für Hintertüren

Eine raffinierte Malware-Kampagne nutzt WhatsApp Desktop auf Windows aus, um über schädliche Skripte dauerhafte Hintertüren zu installieren. Microsoft-Forscher warnen vor einer mehrstufigen Infektionskette, die seit Ende Februar aktiv ist und die Vertrauensstellung von Messenger-Plattformen ausnutzt.

Die Bedrohungslandschaft für Messenger verschiebt sich: Angreifer konzentrieren sich zunehmend auf Desktop-Umgebungen, während mobile Betriebssysteme besser geschützt sind. Die Ende-zu-Ende-Verschlüsselung von WhatsApp schützt nicht vor bösartigen Dateianhängen, die Nutzer herunterladen und ausführen. Dieser Vorfall unterstreicht einen wachsenden Trend: Legitime Kommunikationstools werden als Vehikel für „Living-off-the-Land“-Angriffe missbraucht, bei denen bereits installierte Systemwerkzeuge für Schadaktivitäten genutzt werden.

Achtung: Diese unsichtbaren Spionage-Programme lauern gerade auf Ihrem Windows-PC. Sicherheitsexperten warnen – so schützen Sie sich sofort und kostenlos. Gratis-Ratgeber der PC-Sicherheits-Experten jetzt sichern

So funktioniert die mehrstufige VBS-Attacke

Die Infektion beginnt mit einem scheinbar harmlosen Dateianhang in einer WhatsApp-Nachricht. Laut Berichten von Microsoft und unabhängigen Sicherheitsanalysten handelt es sich dabei typischerweise um Visual Basic Script (.vbs)-Dateien. Im Gegensatz zur mobilen App erlaubt die Windows-Desktop-Version die direkte Interaktion mit solchen Skripten. Die Angreifer setzen auf Social Engineering und tarnen die Anhänge als dringende Rechnungen oder Systemupdates, um Empfänger zum Klicken zu verleiten.

Wird die .vbs-Datei ausgeführt, startet eine komplexe Infektionskette. Das erste Skript enthält nicht die Hauptmalware, sondern dient als Downloader. Es erstellt versteckte Verzeichnisse im C:ProgramData-Ordner, um weitere Komponenten zu speichern. Zur Tarnung kopiert es legitime Windows-Werkzeuge und benennt sie um: So wurde etwa curl.exe als netapi.dll und bitsadmin.exe als sc.exe getarnt. Da die Metadaten dieser Dateien weiterhin auf vertrauenswürdige Microsoft-Tools verweisen, umgehen sie oft einfache Sicherheitsprüfungen.

Tarnung durch seriöse Cloud-Infrastruktur

Ein Schlüssel zum Erfolg der Kampagne ist die Nutzung renommierter Cloud-Dienste wie Amazon Web Services (AWS) S3, Tencent Cloud und Backblaze B2. Dort hosten die Angreifer ihre schädlichen Nutzlasten. Der dadurch erzeugte Netzwerkverkehr sieht für Administratoren oder Sicherheitsgateways wie eine normale Verbindung zu einem bekannten Cloud-Anbieter aus – nicht wie der Kontakt zu einem verdächtigen Command-and-Control-Server.

Diese Strategie reduziert das „Rauschen“ während der Infektionsphase erheblich. Die umbenannten Windows-Utilities laden die nächste Angriffsstufe aus diesen Cloud-Speichern. Dabei handelt es sich oft um weitere VBS-Skripte, die das System für eine permanente Hintertür vorbereiten. Sie prüfen die Systemumgebung, suchen nach bestimmter Sicherheitssoftware und ermitteln, ob der Nutzer Administratorrechte besitzt.

Die Nutzung vertrauenswürdiger Infrastrukturen gewährleistet eine hohe Erfolgsquote in der ersten Angriffsphase. Gleichzeitig bietet sie den Angreifern Flexibilität: Wird ein Cloud-Speicher gesperrt, kann der Downloader schnell auf einen anderen legitimen Hosting-Dienst umgeleitet werden. Das macht die Kampagne widerstandsfähig gegen traditionelle Blockademethoden.

Von Social Engineering zur totalen Systemkontrolle

Die gefährlichste Phase beginnt mit der Rechteausweitung und der Installation einer persistenten Hintertür. Die Malware versucht aggressiv, die Windows User Account Control (UAC) zu umgehen. Sie startet wiederholt Kommandozeilen mit Administratorrechten, bis sie Erfolg hat oder manuell beendet wird.

Nach Erlangung der Admin-Rechte manipuliert das Skript die Systemregistrierung unter HKLM\Software\Microsoft\Windows. Dadurch werden künftige Sicherheitsabfragen unterdrückt und der Schadcode bleibt auch nach einem Neustart aktiv.

Die finale Nutzlast wird oft als unsigniertes Microsoft Installer (.msi)-Paket geliefert. Diese Pakete tarnen sich als Installer für beliebte Tools wie WinRAR oder AnyDesk. Da .msi-Dateien für Windows-Software typisch sind, wirken sie auf unbedarfte Nutzer weniger verdächtig. In Wirklichkeit installieren sie Remote-Access-Trojaner (RATs), die den Angreifern die vollständige Fernsteuerung des Geräts ermöglichen.

Ist die Hintertür einmal etabliert, sind die Folgen gravierend: Angreifer können sensible persönliche oder Unternehmensdaten abziehen, die Nutzeraktivität per Keylogger überwachen und die infizierte Maschine als Sprungbrett für weitere Angriffe im lokalen Netzwerk nutzen. Das Fehlen digitaler Signaturen bei den MSI-Paketen ist ein klares Warnsignal – doch viele Nutzer ignorieren die Warnungen des Betriebssystems, ein Beleg für die Wirksamkeit des anfänglichen Social Engineerings.

Schutzmaßnahmen und Metas Sicherheitsentwicklung

Als Reaktion auf die wachsende Bedrohung durch schädliche Anhänge hat Meta mehrere Sicherheitsverbesserungen für WhatsApp eingeführt. Im Januar 2026 startete die Funktion „Strikte Kontoeinstellungen“, die besonders gefährdete Nutzer wie Journalisten schützen soll. Sie blockiert alle Medien- und Dateianhänge von Absendern, die nicht in der Kontaktliste stehen.

Zuvor hatte Meta bereits eine spezifische Schwachstelle (CVE-2025-30401) im April 2025 geschlossen. Dabei konnte die Dateiendung manipuliert werden, um ausführbare Dateien als harmlose Bilder zu tarnen. Die aktuelle Kampagne von 2026 nutzt jedoch keine Softwarelücke in WhatsApp selbst aus, sondern setzt auf menschliche Psychologie und den Missbrauch legitimer Systemskripte.

Warum immer mehr Windows-Nutzer auf dieses kostenlose Sicherheitspaket von Computerwissen schwören: Der Gratis-Ratgeber der PC-Experten macht Ihren Rechner zur Festung gegen Viren und Hacker. Kostenlosen Experten-Report jetzt herunterladen

Cybersicherheitsexperten empfehlen Windows-Nutzern folgende proaktive Schritte:
* Dateiendungen anzeigen: Im Windows-Explorer sollte die Anzeige von Dateinamenerweiterungen aktiviert sein. So erkennt man leichter eine angebliche Dokumentdatei, die auf .vbs oder .msi endet.
* Unerwartete Anhänge prüfen: Auch bei Nachrichten von bekannten Kontakten sollten unerwartete Anhänge über einen zweiten Kommunikationskanal verifiziert werden – das Konto des Absenders könnte kompromittiert sein.
* Echtzeitschutz nutzen: Eine aktuelle Endpoint Detection and Response (EDR)-Lösung ist essenziell. Moderne Sicherheitstools können oft die „Metadaten-Diskrepanz“ bei umbenannten Windows-Binärdateien erkennen.
* Apps aktuell halten: Der WhatsApp Desktop-Client sollte stets über den Microsoft Store oder die offizielle Website auf dem neuesten Stand sein.

Ausblick: Messenger als neue Angriffsfront

Diese WhatsApp-basierte Hintertür-Kampagne spiegelt eine breitere Entwicklung wider. Da mobile Betriebssysteme wie iOS und Android gegen dateibasierte Angriffe härter geworden sind, verlagern Bedrohungsakteure ihre bemühungen auf die Desktop-Umgebung. Dort sind Nutzerberechtigungen oft weiter gefasst und die Unterstützung für ältere Skripte bleibt aktiv.

Die Nutzung von Messengern als Hauptvektor ist besonders effektiv, weil diese Plattformen oft von den strengen Filterrichtlinien für E-Mail-Anhänge in Unternehmen ausgenommen sind.

Experten erwarten künftig mehr „Low-Noise“-Kampagnen, die legitime Cloud-Anbieter und eingebaute Systemtools nutzen. Die Herausforderung für Sicherheitsanbieter wird sein, eine ausgefeiltere Verhaltensanalyse zu entwickeln, die zwischen der legitimen Nutzung von curl.exe durch einen Administrator und dem Missbrauch durch ein Schadskript unterscheiden kann. Für Nutzer bleibt das beste Mittel ein gesundes Misstrauen gegenüber unaufgeforderten digitalen Kommunikationen – unabhängig davon, auf welcher Plattform sie eintreffen.

boerse | 69060043 |