WhatsApp-Malware: Kaspersky warnt vor Angriffswelle auf Windows
23.06.2026 - 04:04:49 | boerse-global.de
Eine neue Schadsoftware-Kampagne breitet sich über WhatsApp aus und nutzt kompromittierte Accounts, um Windows-Systeme zu infiltrieren. Das Sicherheitsunternehmen Kaspersky warnt vor einer aktiven Welle von Angriffen, bei denen Kriminelle ferngesteuerten Zugriff auf die Rechner ihrer Opfer erlangen.
So funktioniert der Angriff
Die Angreifer zielen vor allem auf Nutzer der WhatsApp-Desktop- und Web-Anwendungen ab. Die Infektion beginnt mit einer harmlos wirkenden Nachricht von einem gekaperten Konto. Angehängt sind Dateien mit der Endung .VBS oder .VBE – Visual Basic Scripts, die als dringende Finanzdokumente getarnt sind.
Anzeige: Eine neue Malware-Welle über WhatsApp nutzt gekaperte Konten, um .VBS-Dateien zu versenden. Wer eine solche Datei öffnet, riskiert, dass Hacker die Windows-Sicherheitswarnungen deaktivieren und Fernzugriff auf den Rechner erhalten. In diesem Leitfaden erfahren Sie, wie Sie die gefährlichen Anhänge erkennen, Ihre WhatsApp-Einstellungen absichern und im Ernstfall richtig reagieren. Jetzt kostenlosen Schutz-Leitfaden anfordern
Die Dateinamen täuschen Rechnungen, Kontoauszüge, Schuldenbestätigungen oder Bankberichte vor. Die Tarnung ist mehrsprachig: Forscher fanden Bezeichnungen auf Englisch, Deutsch, Portugiesisch, Französisch und Malaiisch.
Öffnet ein Nutzer die Datei, startet eine mehrstufige Infektionskette. Das Skript erstellt ein verstecktes Verzeichnis auf dem System und lädt zwei weitere Schadprogramme nach. Eines davon manipuliert die Windows-Benutzerkontensteuerung (UAC). Es ändert die Registry-Einstellungen für Administrator-Zustimmungsabfragen – und schaltet damit die Sicherheitswarnungen des Betriebssystems aus.
Im letzten Schritt lädt der Schädling ein ZIP-Archiv herunter. Dieses enthält ein legitimes Tool für Fernwartung: den ManageEngine Endpoint Central Agent. Mit dieser Software verschaffen sich die Angreifer dauerhaften, versteckten Zugriff auf den infizierten Rechner.
Malaysia besonders betroffen
Die Telemetriedaten der Sicherheitsforscher zeigen eine breite geografische Streuung. Opfer wurden in mindestens elf Ländern registriert, darunter Brasilien, Indien, Mexiko, Singapur, Großbritannien, Spanien, Taiwan, Australien, Russland und Vietnam. Besonders stark betroffen ist jedoch Malaysia – dort konzentrieren sich rund 80 Prozent aller bestätigten Infektionen.
Die technische Analyse liefert Hinweise auf die Täter. Die Skripte enthalten verschleierte Kommentare in chinesischer Sprache. Zudem überschneidet sich die genutzte Infrastruktur mit IP-Adressen, die bereits von den Schadsoftware-Familien ValleyRAT und Gh0st RAT bekannt sind. Die IP 202.61.160.201 wurde als zentraler Steuerungsserver der aktuellen Kampagne identifiziert.
Anzeige: Schon eine einzige infizierte .VBS-Datei in WhatsApp genügt, um Ihren Rechner zu kompromittieren. Die Angreifer tarnen sich mit legitimen Fernwartungstools – Standard-Sicherheitssoftware erkennt sie kaum. Dieser Notfall-Plan zeigt Ihnen, wie Sie eine Infektion sofort stoppen und Ihren PC wieder unter Kontrolle bringen. Notfall-Plan jetzt sichern
Schutz vor der neuen Bedrohung
Der Einsatz legitimer Administrationswerkzeuge wie ManageEngine macht den Angriff besonders tückisch. Die Aktivitäten der Hacker verschmelzen mit normalem Netzwerkverkehr und sind für Standard-Sicherheitssoftware schwer zu erkennen.
Experten raten zu äußerster Vorsicht bei Dateianhängen mit den Endungen .vbs, .vbe, .js, .cmd oder .ps1. Selbst wenn der Absender bekannt erscheint: Finanzdokumente, die unerwartet über WhatsApp eintreffen, sollten vor dem Öffnen unbedingt auf Echtheit geprüft werden. Die Kontakte selbst könnten längst von den Angreifern kontrolliert werden.
