Eine neue WhatsApp-Malware-Kampagne hält Windows-Nutzer in Atem: Microsoft hat eine mehrstufige Angriffskette entdeckt, bei der Cyberkriminelle über den beliebten Messenger bösartige Skripte verschicken – und am Ende Fernzugriff auf die infizierten Systeme erhalten. Wer WhatsApp auf dem Windows-Desktop nutzt, sollte jetzt genau hinsehen.
Angriff über WhatsApp Desktop: So läuft die Infektion ab
Das Microsoft Defender Security Research Team hat Ende Februar 2026 eine Kampagne beobachtet, die über WhatsApp-Nachrichten bösartige VBS-Dateien (Visual Basic Script) an Opfer zustellt. Der Angriff ist dabei besonders tückisch: Er missbraucht das Vertrauen, das Nutzer in die bekannte Kommunikationsplattform setzen. Wer die Datei öffnet, löst eine mehrstufige Infektionskette aus.
Besonders gefährdet sind Nutzerinnen und Nutzer der WhatsApp-Desktop-Version unter Windows, da sich VBS-Dateien dort ohne Umwege direkt ausführen lassen – anders als auf Smartphones.
Die vier Stufen des Angriffs
Stufe 1: Erstzugang über WhatsApp
Sobald das VBS-Skript ausgeführt wird, legt es versteckte Ordner unter C:ProgramData an. Dort werden umbenannte Versionen legitimer Windows-Werkzeuge abgelegt – etwa curl.exe als netapi.dll oder bitsadmin.exe als sc.exe. Durch diese Umbenennung sollen Sicherheitslösungen ausgetrickst werden. Die eigentlichen PE-Metadaten der Dateien (wie das Feld OriginalFileName) bleiben jedoch erhalten, was ein Erkennungsmerkmal für Virenscanner darstellt.
Stufe 2: Nachladen weiterer Schadsoftware aus der Cloud
Mithilfe der umbenannten Binärdateien lädt die Malware im nächsten Schritt weitere Dropper nach – etwa auxs.vbs oder WinUpdate_KB5034231.vbs. Diese werden aus bekannten Cloud-Diensten wie AWS S3, Tencent Cloud und Backblaze B2 heruntergeladen. Die Angreifer nutzen bewusst vertrauenswürdige Cloud-Infrastrukturen, damit der bösartige Datenverkehr wie normaler Netzwerktraffic aussieht und von Schutzprogrammen nicht blockiert wird.
Stufe 3: Rechteerhöhung und Persistenz
Die nachgeladenen Skripte greifen in Windows-Einstellungen ein: Die Malware manipuliert die Benutzerkontensteuerung (UAC), indem sie den Registry-Eintrag ConsentPromptBehaviorAdmin verändert. So werden UAC-Abfragen stillschweigend unterdrückt. Außerdem startet sie wiederholt cmd.exe mit erhöhten Rechten und verankert sich über Änderungen in der Registry unter HKLMSoftwareMicrosoftWin, sodass die Infektion auch nach einem Neustart erhalten bleibt.
Stufe 4: Installation von Backdoors via MSI-Pakete
In der letzten Stufe werden unsignierte MSI-Installer nachgeladen – darunter Dateinamen wie Setup.msi, WinRAR.msi, LinkPoint.msi und AnyDesk.msi. Diese enthalten Fernsteuerungssoftware wie AnyDesk und geben den Angreifern dauerhaften Fernzugriff. Über diesen können sie Daten stehlen, weitere Malware installieren oder das kompromittierte System als Teil eines Bot-Netzwerks missbrauchen. In Unternehmensumgebungen fallen MSI-Installationen typischerweise nicht auf, was die Tarnung zusätzlich verbessert.
Wer steckt dahinter und wen trifft es?
Microsoft nennt keine konkreten Angaben zu den Angreifern oder gezielt anvisierten Opfergruppen. Die Analyse beschreibt jedoch, dass die Kampagne auf Social Engineering und sogenannte „Living-off-the-land“-Techniken (LOLbins) setzt – also auf Angriffe, die ausschließlich mit legitimen Windows-Bordmitteln arbeiten, um Sicherheitslösungen zu umgehen.
Grundsätzlich sollten sich alle Windows-Nutzer mit installierter WhatsApp-Desktop-App angesprochen fühlen. Besondere Vorsicht gilt bei Nachrichten von unbekannten Absendern, die Dateianhänge enthalten.
So schützt ihr euch – Empfehlungen von Microsoft
Microsoft empfiehlt unter anderem folgende Schutzmaßnahmen:
- Script-Ausführung einschränken: Ausführung von Script-Hosts wie
wscript.exe,cscript.exeundmshtain unsicheren Pfaden blockieren. - Cloud-Traffic überwachen: Datenverkehr zu Diensten wie AWS S3, Tencent Cloud und Backblaze B2 auf ungewöhnliche Downloads prüfen.
- UAC-Änderungen im Blick behalten: Registry-Einträge unter
HKLMSoftwareMicrosoftWinund Manipulationen der UAC-Einstellungen als Warnsignal werten. - Microsoft Defender aktuell halten: Der cloudbasierte Schutz von Defender erkennt laut Microsoft die relevanten Schadprogramme (u. a. als
Trojan:VBS/Obfuse.KPP!MTBundTrojan:VBS/BypassUAC.PAA!MTB). - Nutzer sensibilisieren: Mitarbeiterinnen und Mitarbeiter sollten auf verdächtige Anhänge in Messengern hingewiesen werden – auch über WhatsApp können Angreifer zuschlagen.
Wer Microsoft Defender for Endpoint einsetzt, kann zudem Attack Surface Reduction (ASR)-Regeln aktivieren, um das Ausführen von VBScript und verschleierten Skripten zu blockieren.
Keine Einzelfall: Messenger immer häufiger im Visier
Die Kampagne reiht sich in eine Serie von Angriffen ein, die gezielt beliebte Messenger-Plattformen als Einfallstor nutzen. Bereits Ende 2024 warnte die CISA vor ausgefeilten Social-Engineering-Angriffen auf Messenger-Nutzer. Wer häufig Nachrichten von Unbekannten erhält – etwa Personen in exponierten Positionen oder in Unternehmen – sollte besonders wachsam sein.
Mehr zum Thema Sicherheit und WhatsApp auf basic-tutorials.de: WhatsApp: Massives Datenleck beim Meta-Messenger | Die besten Antiviren-Programme im Vergleich
Fazit: WhatsApp-Malware ernst nehmen
Die neu entdeckte WhatsApp-Malware-Kampagne zeigt, wie raffiniert moderne Angriffe inzwischen sind. Wer auf Windows mit WhatsApp Desktop arbeitet, sollte VBS-Dateianhänge grundsätzlich ignorieren – egal von wem sie vermeintlich stammen. Microsoft Defender und regelmäßige Updates helfen dabei, solche Angriffe abzuwehren. Die vollständige technische Analyse sowie Indicators of Compromise (IOCs) hat Microsoft in seinem Security-Blog veröffentlicht.
