Security

WhatsApp-Malware-Kampagne mit VBS- und MSI-Backdoors

3 Min. Lesezeit

Zusammenfassung

Microsoft Defender Experts haben eine Kampagne von Ende Februar 2026 aufgedeckt, die WhatsApp-Nachrichten nutzt, um schädliche VBS-Dateien auszuliefern, und anschließend unsignierte MSI-Pakete für Persistenz und Remotezugriff installiert. Der Angriff kombiniert Social Engineering, umbenannte Windows-Dienstprogramme und vertrauenswürdige Cloud-Dienste zur Umgehung der Erkennung, wodurch Endpoint-Kontrollen und Nutzeraufklärung entscheidend werden.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einleitung

Microsoft hat Details zu einer ausgefeilten Malware-Kampagne veröffentlicht, die mit über WhatsApp zugestellten VBS-Dateien beginnt und mit dauerhaftem Remotezugriff über schädliche MSI-Installer endet. Für IT- und Sicherheitsteams ist das relevant, weil die Angreifer legitime Windows-Tools und vertrauenswürdige Cloud-Plattformen missbrauchen, wodurch sich die Aktivität schwerer von normalem Unternehmensverkehr unterscheiden lässt.

Was ist an dieser Kampagne neu?

Microsoft Defender Experts beobachteten den Beginn der Kampagne Ende Februar 2026. Die Angriffskette umfasst mehrere Stufen, die darauf ausgelegt sind, die Erkennung zu umgehen und langfristigen Zugriff aufrechtzuerhalten:

  • Erstzugriff über WhatsApp: Angreifer versenden schädliche .vbs-Dateien über WhatsApp-Nachrichten und setzen dabei auf das Vertrauen der Nutzer in bekannte Kommunikations-Apps.
  • Einsatz umbenannter Windows-Tools: Die Skripte kopieren legitime Dienstprogramme wie curl.exe und bitsadmin.exe und benennen sie dann in irreführende Dateinamen wie netapi.dll und sc.exe um.
  • Payload-Bereitstellung über vertrauenswürdige Cloud-Dienste: Sekundäre Payloads werden von Diensten wie AWS S3, Tencent Cloud und Backblaze B2 heruntergeladen.
  • Rechteausweitung und Persistenz: Die Malware manipuliert UAC-bezogene Registry-Einstellungen und versucht wiederholt, Befehle mit erhöhten Rechten auszuführen.
  • MSI-Backdoors in der Endphase: Unsignierte MSI-Dateien wie Setup.msi, WinRAR.msi, LinkPoint.msi und AnyDesk.msi werden verwendet, um Remotezugriff einzurichten.

Warum das wichtig ist

Diese Kampagne kombiniert mehrere Trends, die Verteidiger immer häufiger beobachten:

  • Living-off-the-land-Techniken unter Verwendung nativer Windows-Binärdateien
  • Cloud-gehostete Malware-Bereitstellung, die sich in legitimen Datenverkehr einfügt
  • Social Engineering über Messaging-Plattformen für Verbraucher
  • Persistenz über MSI-Installer, die in verwalteten Umgebungen routinemäßig wirken können

Eine bemerkenswerte Erkennungsmöglichkeit ist die Abweichung zwischen dem tatsächlichen Dateinamen und den eingebetteten OriginalFileName-PE-Metadaten. Sicherheitstools, die diese Metadaten prüfen, können umbenannte Binärdateien möglicherweise effektiver erkennen.

Auswirkungen auf IT-Administratoren

Sicherheits- und Endpoint-Teams sollten davon ausgehen, dass eine reine Blockierung nach Dateityp nicht ausreicht. Die Kampagne kann oberflächliche Prüfungen umgehen, indem sie versteckte Ordner, vertrauenswürdige Download-Quellen und legitime Verwaltungstools nutzt.

Organisationen, die Microsoft Defender einsetzen, sollten besonders auf Folgendes achten:

  • Script-Host-Aktivität aus nicht vertrauenswürdigen Pfaden (wscript, cscript, mshta)
  • Registry-Änderungen im Zusammenhang mit dem UAC-Verhalten
  • Ausführung unsignierter MSI-Dateien
  • Netzwerkverbindungen zu Cloud-Objektspeichern, die für das Staging von Payloads genutzt werden
  • Endpoint-Erkennungen im Zusammenhang mit umbenannten Binärdateien und verdächtigen Command-Line-Flags

Empfohlene nächste Schritte

  • Skriptausführung einschränken an nicht vertrauenswürdigen Speicherorten, wo immer möglich.
  • Cloud-basierte Schutzfunktionen aktivieren in Microsoft Defender Antivirus.
  • Defender for Endpoint EDR im block mode ausführen, um Artefakte zu stoppen, die von anderen Kontrollen übersehen werden.
  • Cloud-Datenverkehr überwachen auf verdächtige Downloads von AWS, Tencent Cloud und Backblaze B2.
  • Nutzer schulen, keine unerwarteten WhatsApp-Anhänge zu öffnen, selbst wenn sie scheinbar von vertrauenswürdigen Kontakten stammen.

Diese Kampagne erinnert daran, dass vertrauenswürdige Apps, legitime Tools und gängige Cloud-Dienste allesamt als Waffe missbraucht werden können. Verteidiger sollten Endpoint-Telemetrie, Cloud-Datenverkehrsinspektion und Nutzeraufklärung kombinieren, um das Risiko zu reduzieren.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
WhatsApp malwareVBSMSI backdoorMicrosoft Defenderthreat detection

Verwandte Beiträge

Security

Microsoft Copilot Studio gegen OWASP-AI-Risiken

Microsoft erläutert, wie Copilot Studio und die bevorstehende allgemeine Verfügbarkeit von Agent 365 Unternehmen dabei helfen können, die OWASP Top 10 für Agentic Applications zu adressieren. Die Hinweise sind wichtig, weil agentische AI-Systeme echte Identitäten, Daten und Tools nutzen können und dadurch Sicherheitsrisiken entstehen, die weit über ungenaue Ausgaben hinausgehen.

Security

Microsoft Defender HVA-Schutz blockiert Angriffe

Microsoft hat erläutert, wie Microsoft Defender mit High-Value-Asset-Erkennung Angriffe auf Domain Controller, Webserver und Identitätsinfrastruktur erkennt und stoppt. Durch die Kombination von Kontext aus Security Exposure Management mit differenzierten Erkennungen und automatischer Unterbrechung kann Defender das Schutzniveau für Tier-0-Assets erhöhen und die Auswirkungen komplexer Angriffe reduzieren.

Security

Microsoft Entra Identitätssicherheit: RSAC 2026

Microsoft positioniert Identitätssicherheit als eine einheitliche Steuerungsebene, die Identitätsinfrastruktur, Zugriffsentscheidungen und Bedrohungsschutz in Echtzeit zusammenführt. Auf der RSAC 2026 kündigte das Unternehmen neue Funktionen für Microsoft Entra und Defender an, darunter ein Dashboard für Identitätssicherheit, ein einheitliches Identitätsrisiko-Scoring und adaptive Risikobehebung, um Unternehmen dabei zu helfen, Fragmentierung zu reduzieren und schneller auf identitätsbasierte Angriffe zu reagieren.

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.