Microsoft avertizează asupra unui malware VBS distribuit prin WhatsApp

Microsoft atrage atenția asupra unei noi campanii care a folosit mesaje WhatsApp pentru a distribui fișiere Visual Basic Script (VBS) rău intenționate.

Această activitate, care a început la sfârșitul lunii februarie 2026, utilizează aceste scripturi pentru a iniția un lanț de infectare în mai multe etape, cu scopul de a asigura persistența și de a permite accesul de la distanță.

Utilizarea instrumentelor legitime și a platformelor de încredere reprezintă o combinație extrem de periculoasă, deoarece le permite atacatorilor să se integreze în activitatea normală a rețelei și să sporească șansele de succes ale atacurilor lor.

Activitatea începe cu distribuirea de către atacatori a unor fișiere VBS rău intenționate prin mesaje WhatsApp care, odată executate, creează foldere ascunse în C:\ProgramData și plasează acolo versiuni redenumite ale unor utilitare Windows legitime, precum curl.exe (redenumit netapi.dll) și bitsadmin.exe (redenumit sc.exe).

După ce reușesc să se infiltreze în sistem, atacatorii urmăresc să-și asigure persistența și să-și extindă privilegiile, ajungând în final să instaleze pachete MSI rău intenționate pe sistemele utilizatorilor. Acest lucru se realizează prin descărcarea unor fișiere VBS auxiliare găzduite pe AWS S3, Tencent Cloud și Backblaze B2, folosind fișierele binare redenumite.

Aceste acțiuni permit atacatorilor să obțină privilegii extinse fără interacțiunea utilizatorului, printr-o combinație de manipulare a Registry cu tehnici de ocolire a funcției UAC, și, în final, să instaleze programe de instalare MSI fără semnătură digitală. Printre acestea se numără și instrumente legitime, precum AnyDesk, care le oferă atacatorilor acces la distanță persistent, permițându-le să sustragă date sau să instaleze și mai mult malware.

Sursă: https://thehackernews.com/2026/04/microsoft-warns-of-whatsapp-delivered.html