Microsoft warnt vor WhatsApp-Malware für Windows

Microsoft Defender Experts hat eine aktive Malware-Kampagne entdeckt, die Windows-Nutzer über den WhatsApp-Desktop-Client angreift. Die Bedrohung nutzt manipulierte VBS-Dateien und vertrauenswürdige Cloud-Dienste, um sich unbemerkt im System festzusetzen. Für deutsche Unternehmen und Privatanwender bedeutet dies eine neue Gefahrenstufe bei der täglichen Kommunikation.

Der perfide Einstieg über vertraute Kanäle

Achtung: Diese unsichtbaren Spionage-Programme lauern gerade auf Ihrem Windows-PC. PC-Sicherheitsexperten verraten ihre besten Schutzmaßnahmen gegen Viren und Hacker jetzt in diesem kostenlosen PDF-Download. Gratis Anti-Virus-Paket jetzt herunterladen

Seit Ende Februar 2026 nutzen Angreifer gezielt das Vertrauen in persönliche Messenger aus. Statt E-Mails verschicken sie nun schädliche Visual Basic Script (VBS)-Dateien über WhatsApp-Nachrichten. Der Trick: Viele Nutzer synchronisieren ihren Account mit der Desktop-App und halten Dateien aus diesem Umfeld für sicher. Oft werden sogar kompromittierte Kontakte genutzt, um die Anhänge an bestehende Chat-Partner zu senden – die Erfolgsquote steigt.

Öffnet ein Nutzer die Datei, passiert zunächst nichts Offensichtliches. Stattdessen legt das Skript versteckte Ordner an, typischerweise in C:ProgramData. Dort platziert es umbenannte Versionen legitimer Windows-Tools wie curl.exe oder bitsadmin.exe. Diese „Living-off-the-Land“-Taktik tarnt die Aktivität: Sicherheitstools überwachen das Verhalten bekannter Systemdateien weniger streng als das von unbekannten Programmen.

Getarnte Cloud-Kommunikation und persistenter Zugriff

Die umbenannten Tools dienen einem Zweck: Sie laden weitere Schadskripte von seriösen Cloud-Hosting-Diensten wie Amazon Web Services (AWS), Tencent Cloud oder Backblaze B2 herunter. Der Clou: Der Netzwerkverkehr sieht damit aus wie normaler Zugriff auf Business-Clouds. Für Netzwerk-Monitoring ist es fast unmöglich, diese Datenabflüsse von legitimen Operationen zu unterscheiden.

Hat sich die Malware eingenistet, kämpft sie um dauerhaften Zugriff. Sie versucht, durch wiederholte User Account Control (UAC)-Abfragen höhere Berechtigungen zu erlangen oder manipuliert Registry-Keys, um Sicherheitswarnungen zu umgehen. Gelingt dies, überlebt sie auch Neustarts. Das finale Ziel ist die Installation von unsignierten Microsoft Installer (MSI)-Paketen, die Fernzugriffssoftware wie AnyDesk oder maßgeschneiderte Backdoors nachladen.

Warum die Gefahr so schwer zu erkennen ist

Experten wie Dror Kashti von Sweet Security betonen das „vermischte“ Risiko. Erst die Echtzeit-Beobachtung der Komponenten zusammen – umbenannte Binärdateien aus versteckten Pfaden und ungewöhnliche Prozessketten – offenbare die wahre Bedrohung. Shane Barney von Keeper Security ergänzt: Der Angriff beginne simpel, wechsle dann aber in eine technische Sequenz, die ohne tiefgehende Laufzeit-Analyse kaum zu stoppen sei.

Warum immer mehr Windows-Nutzer auf dieses kostenlose Sicherheitspaket von Computerwissen schwören: Der Gratis-Ratgeber macht Ihren Rechner zur Festung gegen Viren und Spionage-Software. Kostenlosen Experten-Report zum PC-Schutz sichern

Ein Fehler der Angreifer könnte jedoch die Abwehr erleichtern: Zwar werden die Dateinamen geändert, die originalen Portable Executable (PE)-Metadaten bleiben oft erhalten. Sicherheitslösungen können so inkonsistente „OriginalFileName“-Felder erkennen und Alarm schlagen.

Zeitliches Zusammentreffen mit Windows-Entwicklung

Die Kampagne fällt in eine kritische Phase für Windows: Microsoft plant, VBScript schrittweise abzuschaffen. Ab 2026 wird es standardmäßig deaktiviert. Die Angreifer nutzen das letzte Zeitfenster, in dem diese Skripte noch auf vielen Systemen laufen. Gleichzeitig weichen sie auf Messenger aus, weil E-Mail-Filter immer besser werden.

Die Zukunft könnte weitere Herausforderungen bringen. Die Integration von „agentic AI“ und automatisierter Systemverwaltung in Windows 11 und Folgeversionen könnte neue Angriffsvektoren eröffnen, um Malware noch leiser zu installieren.

Schutzmaßnahmen für Unternehmen und Nutzer

Sicherheitsexperten raten zu mehreren Schritten:
* VBScript deaktivieren, wo es nicht zwingend benötigt wird.
* Strenge Endpoint-Kontrollen durchsetzen.
* Mitarbeiter für die Gefahren von unaufgeforderten Anhängen in Messengern sensibilisieren.
* In der Windows-Explorer-Option „Dateinamenerweiterungen anzeigen“ aktivieren. So erkennt man, ob eine angebliche Bilddatei tatsächlich auf .vbs oder .msi endet.

Für die Abwehr wird verhaltensbasierte Erkennung immer wichtiger. Die Fähigkeit, umbenannte Systemtools und unbefugte Cloud-Verbindungen zu identifizieren, ist entscheidend. Unternehmen sollten ihre Threat-Intelligence-Feeds aktualisieren und ihre Endpoint Detection and Response (EDR)-Systeme auf die spezifischen Indikatoren dieser WhatsApp-Kampagne hin konfigurieren.

boerse | 69052206 |