WhatsApp-Betrug: Kaspersky warnt vor manipulierten VBScript-Dateien
Veröffentlicht: 15.07.2026 um 15:46 Uhr, Redaktion boerse-global.de
Kriminelle versenden manipulierte VBScript-Dateien, getarnt als Finanz- und Geschäftsdokumente. Ziel ist die Installation von Fernwartungssoftware für den vollständigen Zugriff auf betroffene Systeme.
So funktioniert der Angriff
Mitte Juli identifizierten Analysten von Kaspersky eine Kampagne, bei der Dateien mit Namen wie „Financial Reports.vbs“ oder „Account Statement.vbs“ über WhatsApp verbreitet werden. Öffnet ein Nutzer diese Dateien, startet der Windows-Dienst WScript.exe eine Infektionskette. Diese umgeht die Benutzerkontensteuerung (UAC) und installiert im Hintergrund das legitime Tool „ManageEngine RMM Central“.
Dabei handelt es sich um ein reguläres Remote-Monitoring- und Management-Tool (RMM). Die Angreifer nutzen dessen Funktionen missbräuchlich aus, um Daten zu stehlen oder weitere Schadsoftware nachzuladen.
Die genutzten Infrastrukturen weisen Überschneidungen mit bekannten Bedrohungsakteuren auf. Diese waren bereits für die Verbreitung von Gh0st RAT und ValleyRAT verantwortlich. Die Kampagne ist global ausgerichtet und wurde in elf Ländern nachgewiesen. Schwerpunkte liegen in Malaysia, Brasilien, Vietnam und dem Vereinigten Königreich.
Betrug per Social Engineering nimmt zu
Neben der technischen Infektion über Skripte beobachten Sicherheitsbehörden eine Zunahme von Social-Engineering-Taktiken. Die maltesische Polizei warnte vor gefälschten Abstimmungs-Links. Klicken Nutzer darauf, können Angreifer das WhatsApp-Konto übernehmen und im Namen des Opfers Geld von dessen Kontakten erbitten.
Ein prominentes Beispiel: Der ugandische Sänger Ronald Mayinja, dessen Konto nach einem Klick auf eine vermeintliche Meeting-Einladung kompromittiert wurde. In Malaysia führte ein ähnlicher Betrug – versprochen wurde der Gewinn eines Einkaufspreises – zu einem finanziellen Verlust von 10.500 RM bei einer Nutzerin. Die Täter nutzten den Zugang, um Kredite aufzunehmen und Zahlungskonten zu belasten.
Da Kriminelle zunehmend WhatsApp und Online-Banking ins Visier nehmen, ist ein grundlegender Schutz für mobile Endgeräte unverzichtbar. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie Ihr Android-Smartphone mit fünf einfachen Maßnahmen effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Kriminelle setzen auf KI und legitime Tools
Die aktuelle WhatsApp-Kampagne steht in einem breiteren Kontext. Cyberkriminelle setzen verstärkt auf legitime Software. Marktbeobachter registrierten seit Anfang des Jahres über 100 Phishing-Kampagnen mit Bezug zur Steuererklärung. Diese zielen darauf ab, RMM-Payloads wie ConnectWise oder LogMeIn zu platzieren.
Die „SeasonalInvite“-Kampagne nutzt seit Januar KI-generierte eCards und fast 1.000 Phishing-Domains. Auch das Landeskriminalamt und die Verbraucherzentrale Rheinland-Pfalz wiesen Mitte Juli auf die steigende Qualität von Betrugsversuchen hin. Durch Stimmklonen oder Deepfake-Videos werden die Maschen für Laien immer schwerer erkennbar. KI-gestützter Betrug hat im Vergleich zum Vorjahr deutlich zugenommen.
Schutzmaßnahmen und Gegenmaßnahmen
Apple plant für Ende Juli mit dem Update auf iOS 26.6 ein Warnsystem für schädliche Nachrichten in iMessage. WhatsApp reagiert ebenfalls: Unter dem Projektnamen „Kaleidoscope“ wurde die Medienverarbeitung auf die sicherere Programmiersprache Rust umgestellt.
Ein veraltetes Betriebssystem ist oft die erste Schwachstelle, die Cyberkriminelle für ihre Angriffe per WhatsApp oder E-Mail ausnutzen. Ein kostenloser Experten-Report zeigt Ihnen, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Malware dauerhaft verhindern. Kostenlosen Android-Update-Ratgeber herunterladen
Sicherheitsexperten und Behörden raten zu folgenden Schutzmaßnahmen:
- Aktivierung der Zwei-Faktor-Authentifizierung für alle Messenger- und Online-Konten
- Verwendung von Hardware-Sicherheitsschlüsseln für eine phishing-resistente Identitätsprüfung
- Besondere Vorsicht bei unerwarteten Nachrichten mit Dateianhängen – auch von bekannten Kontakten
- Vereinbarung von internen Familienkennwörtern, um Identitätsdiebstahl durch Stimmklonen am Telefon zu entlarven
Im Bereich gezielter Angriffe nutzt die Gruppierung Gamaredon derzeit eine Sicherheitslücke in WinRAR (CVE-2025-8088) aus. Sie verbreitet damit VBScript-Würmer und Information-Stealer in der Ukraine – ein weiterer Beleg für die anhaltende Relevanz skriptbasierter Angriffswege.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
