Security

WhatsApp malwarekampagne bruger VBS og MSI-bagdøre

3 min læsning

Resumé

Microsoft Defender Experts har afdækket en kampagne fra slutningen af februar 2026, der bruger WhatsApp-beskeder til at levere ondsindede VBS-filer og derefter installerer usignerede MSI-pakker for persistens og fjernadgang. Angrebet kombinerer social engineering, omdøbte Windows-værktøjer og betroede cloudtjenester for at undgå registrering, hvilket gør endpoint-kontroller og brugerbevidsthed afgørende.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsoft har offentliggjort detaljer om en sofistikeret malwarekampagne, der starter med VBS-filer leveret via WhatsApp og ender med vedvarende fjernadgang gennem ondsindede MSI-installationspakker. For IT- og sikkerhedsteams er dette vigtigt, fordi angriberne misbruger legitime Windows-værktøjer og betroede cloudplatforme, hvilket gør aktiviteten sværere at skelne fra normal virksomhedstrafik.

Hvad er nyt i denne kampagne

Microsoft Defender Experts observerede kampagnen begynde i slutningen af februar 2026. Angrebskæden omfatter flere faser, der er designet til at undgå registrering og opretholde langvarig adgang:

  • Indledende adgang via WhatsApp: Angribere sender ondsindede .vbs-filer via WhatsApp-beskeder og udnytter brugernes tillid til velkendte kommunikationsapps.
  • Brug af omdøbte Windows-værktøjer: Scripts kopierer legitime hjælpeprogrammer som curl.exe og bitsadmin.exe og omdøber dem derefter til vildledende filnavne som netapi.dll og sc.exe.
  • Payload-levering fra betroede cloudtjenester: Sekundære payloads downloades fra tjenester som AWS S3, Tencent Cloud og Backblaze B2.
  • Privilegieeskalering og persistens: Malware manipulerer med UAC-relaterede registreringsdatabaseindstillinger og forsøger gentagne gange at køre kommandoer med forhøjede rettigheder.
  • MSI-bagdøre i sidste fase: Usignerede MSI-filer som Setup.msi, WinRAR.msi, LinkPoint.msi og AnyDesk.msi bruges til at etablere fjernadgang.

Hvorfor dette er vigtigt

Denne kampagne kombinerer flere tendenser, som forsvarsteams ser oftere:

  • Living-off-the-land-teknikker med native Windows-binærfiler
  • Cloud-hosted malwarelevering, der glider ind i legitim trafik
  • Social engineering via forbrugerorienterede beskedplatforme
  • Persistens gennem MSI-installationspakker, som kan se rutinemæssige ud i administrerede miljøer

En bemærkelsesværdig mulighed for registrering er uoverensstemmelsen mellem en fils faktiske navn og dens indlejrede OriginalFileName PE-metadata. Sikkerhedsværktøjer, der inspicerer disse metadata, kan muligvis markere omdøbte binærfiler mere effektivt.

Konsekvenser for IT-administratorer

Sikkerheds- og endpoint-teams bør gå ud fra, at blokering alene efter filtype ikke er nok. Kampagnen kan omgå overfladisk kontrol ved at bruge skjulte mapper, betroede downloadkilder og legitimt administrationsværktøj.

Organisationer, der bruger Microsoft Defender, bør være særligt opmærksomme på:

  • Script host-aktivitet fra ikke-betroede stier (wscript, cscript, mshta)
  • Registreringsdatabaseændringer knyttet til UAC-adfærd
  • Kørsel af usignerede MSI-filer
  • Netværksforbindelser til cloud object storage brugt til staging af payloads
  • Endpoint-detektioner knyttet til omdøbte binærfiler og mistænkelige kommandolinjeflag

Anbefalede næste skridt

  • Begræns scriptkørsel i ikke-betroede placeringer, hvor det er muligt.
  • Aktivér cloud-delivered protection i Microsoft Defender Antivirus.
  • Kør Defender for Endpoint EDR i block mode for at stoppe artefakter, som andre kontroller overser.
  • Overvåg cloudtrafik for mistænkelige downloads fra AWS, Tencent Cloud og Backblaze B2.
  • Træn brugere i at undgå at åbne uventede WhatsApp-vedhæftninger, selv fra tilsyneladende betroede kontakter.

Denne kampagne er en påmindelse om, at betroede apps, legitime værktøjer og almindelige cloudtjenester alle kan bruges som våben. Forsvarsteams bør kombinere endpoint-telemetri, inspektion af cloudtrafik og brugerbevidsthed for at reducere eksponeringen.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
WhatsApp malwareVBSMSI backdoorMicrosoft Defenderthreat detection

Relaterede indlæg

Security

Copilot Studio mod OWASP-risici i agentic AI

Microsoft beskriver, hvordan Copilot Studio og den kommende generelle tilgængelighed af Agent 365 kan hjælpe organisationer med at håndtere OWASP Top 10 for agentiske applikationer. Vejledningen er vigtig, fordi agentic AI-systemer kan bruge reelle identiteter, data og værktøjer, hvilket skaber sikkerhedsrisici, der rækker langt ud over unøjagtige output.

Security

Microsoft Defender HVA-beskyttelse blokerer angreb

Microsoft beskrev, hvordan Microsoft Defender bruger bevidsthed om high-value assets til at registrere og stoppe angreb mod domænecontrollere, webservere og identitetsinfrastruktur. Ved at kombinere kontekst fra Security Exposure Management med differentierede registreringer og automatisk afbrydelse kan Defender hæve beskyttelsesniveauet på Tier-0-aktiver og reducere konsekvenserne af avancerede indtrængen.

Security

Microsoft Entra identitetssikkerhed: RSAC 2026

Microsoft positionerer identitetssikkerhed som et samlet kontrolplan, der kombinerer identitetsinfrastruktur, adgangsbeslutninger og trusselsbeskyttelse i realtid. På RSAC 2026 annoncerede virksomheden nye funktioner i Microsoft Entra og Defender, herunder et dashboard til identitetssikkerhed, samlet scoring af identitetsrisiko og adaptiv risikohåndtering, som skal hjælpe organisationer med at reducere fragmentering og reagere hurtigere på identitetsbaserede angreb.

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.