Malware per WhatsApp. Der Rest läuft auf Windows |
Malware per WhatsApp. Der Rest läuft auf Windows
Malware per WhatsApp, die als VBS-Datei auf Windows-Systeme gelangt. Danach folgen Cloud-Downloads, Persistenz- und MSI-Pakete wie AnyDesk.
Auch keine Anhänge von Freunden öffnen!
Windows-Werkzeuge statt auffälliger Schadsoftware
Am Ende landet AnyDesk auf dem System
Malware per WhatsApp als Verteiler ist kein neuer Einfall
Das alte Konzept funktioniert trotzdem
Malware per WhatsApp - VBS deaktivieren als zusätzlicher Schutz
Malware per WhatsApp, ist das immer noch aktuell? Leider ja! Microsoft warnt vor einer Kampagne, die VBS-Dateien über diesen Messenger an Windows-PCs verteilt. Eine .vbs-Datei ist eine Skriptdatei, die in VBScript (Visual Basic Scripting Edition) geschrieben ist. Nach dem Klick tarnt sich die Kette mit umbenannten Systemwerkzeugen, lädt weitere Komponenten aus der Cloud nach und endet bei unsignierten MSI-Paketen wie „AnyDesk.msi”.
Auch keine Anhänge von Freunden öffnen!
WhatsApp steht in der Warnung natürlich ganz weit vorne. Das Problem liegt hier aber nicht in der App selbst, auch wenn man das vermuten könnte. Microsoft beschreibt keine neue Lücke in der App, sondern eine Infektionskette, die seit Ende Februar 2026 VBS-Dateien an Windows-Nutzer verteilt. Wer den Anhang mit dem VBScript öffnet, startet den Ablauf selbst.
Nach dem Klick legt das Skript versteckte Ordner unter C:\ProgramData an, kopiert vorhandene Windows-Werkzeuge unter neuen Namen dorthin und lädt weitere Komponenten nach. Aus curl.exe wird netapi.dll und aus bitsadmin.exe wird sc.exe. Später verändert die Malware die UseragentControl-Einstellungen und Registry-Einträge. Danach installiert sie mehrere unsignierte MSI-Pakete, darunter Setup.msi, WinRAR.msi, LinkPoint.msi und AnyDesk.msi. So sichern sich die Angreifer nachhaltig den Zugriff auf das System.
Windows-Werkzeuge statt auffälliger Schadsoftware
Die Verteilerstruktur beginnt nicht mit exotischer Spezialsoftware oder eingekauften Zero-Day-Lücken. Sie greift auf Programme zurück, die auf einem normalen Produktivsystem bereits vorhanden sind. Deshalb fällt die Infektion mit Malware per WhatsApp oft erst sehr spät auf. Ein bekanntes Werkzeug unter falschem Namen wirkt im Alltag unverdächtiger als eine komisch benannte........