Sicherheitsforscher von Microsoft haben Ende Februar 2026 eine ausgeklügelte Schadsoftware-Kampagne aufgedeckt, die über WhatsApp-Nachrichten verbreitet wird. Die Angreifer nutzen dabei gezielt das Vertrauen der Nutzer in die beliebte Messaging-App aus und verschicken bösartige Visual Basic Script-Dateien (VBS). Wer eine solche Datei öffnet, setzt damit eine mehrstufige Infektionskette in Gang, die am Ende die vollständige Fernsteuerung des betroffenen Systems ermöglicht.

Im System getarnt

Einmal auf dem System angekommen, arbeitet die Malware im Verborgenen. Sie legt versteckte Ordner unter "C:\ProgramData" an und kopiert dort legitime Windows-Bordmittel wie "curl.exe" und "bitsadmin.exe" hinein – allerdings umbenannt in unauffällige Bezeichnungen wie "netapi.dll" und "sc.exe". Über diese getarnten Werkzeuge lädt die Schadsoftware dann weitere Schadkomponenten nach, die auf bekannten Clouddiensten wie Amazon AWS S3, Tencent Cloud und Backblaze B2 liegen. Da der Datenverkehr zu diesen Plattformen im Unternehmensumfeld als normal gilt, fällt er oft nicht auf.

Im dritten Schritt setzt die Kampagne zum eigentlichen Angriff auf das Betriebssystem an. Die Malware manipuliert die Benutzerkontensteuerung (UAC) von Windows, indem sie den Registry-Wert "ConsentPromptBehaviorAdmin" verändert. Dadurch erhalten die Angreifer Administratorrechte, ohne dass die Benutzer eine entsprechende Aufforderung zu sehen bekommen. Über weitere Registry-Einträge verankert sich die Schadsoftware zudem dauerhaft im System, wodurch sie selbst einen Neustart übersteht.

Zugriff per Fernwartung

Den Abschluss der Infektionskette bildet die Installation nicht signierter MSI-Pakete, darunter Dateien mit Namen wie "Setup.msi", "WinRAR.msi" und "AnyDesk.msi". Besonders das letztgenannte Tool ist dabei bemerkenswert: AnyDesk ist eine legitime Fernwartungssoftware, die die Angreifer zweckentfremden, um dauerhaft Zugriff auf kompromittierte Rechner zu behalten.

Über diese Hintertür können sie Daten abziehen, weitere Schadprogramme nachladen oder die befallenen Geräte in ein Botnetz einbinden. Die fehlende digitale Signatur der MSI-Pakete ist dabei ein wichtiges Warnsignal, denn legitime Unternehmenssoftware kommt in aller Regel mit einer gültigen Herausgebersignatur.

Skripte blockieren und Traffic beobachten

Microsoft empfiehlt Unternehmen, die Ausführung von Script-Hosts wie "wscript.exe" und "cscript.exe" in nicht vertrauenswürdigen Pfaden zu blockieren und den Netzwerkverkehr zu Clouddiensten genauer zu überwachen. Darüber hinaus raten die Experten dazu, Tamper Protection zu aktivieren, den EDR-Schutz im Block-Modus zu betreiben und Mitarbeiter regelmäßig für Social-Engineering-Angriffe zu sensibilisieren, denn der erste Schritt dieser Kampagne ist letztlich ein menschliches Problem: ein unbedachter Klick auf eine verdächtige Datei im Messenger.