Security

WhatsApp-malwarecampagne met VBS- en MSI-backdoors

3 min leestijd

Samenvatting

Microsoft Defender Experts ontdekten eind februari 2026 een campagne die WhatsApp-berichten gebruikt om kwaadaardige VBS-bestanden af te leveren en daarna niet-ondertekende MSI-pakketten installeert voor persistentie en externe toegang. De aanval combineert social engineering, hernoemde Windows-hulpprogramma’s en vertrouwde cloudservices om detectie te ontwijken, waardoor endpoint-beveiliging en gebruikersbewustzijn cruciaal zijn.

Hulp nodig met Security?Praat met een expert

Introductie

Microsoft heeft details gepubliceerd over een geavanceerde malwarecampagne die begint met via WhatsApp geleverde VBS-bestanden en eindigt met persistente externe toegang via kwaadaardige MSI-installers. Voor IT- en securityteams is dit belangrijk omdat aanvallers legitieme Windows-tools en vertrouwde cloudplatforms misbruiken, waardoor de activiteit moeilijker te onderscheiden is van normaal enterprise-verkeer.

Wat is er nieuw in deze campagne

Microsoft Defender Experts observeerden de campagne vanaf eind februari 2026. De aanvalsketen omvat meerdere fasen die zijn ontworpen om detectie te ontwijken en langdurige toegang te behouden:

  • Initiële toegang via WhatsApp: Aanvallers versturen kwaadaardige .vbs-bestanden via WhatsApp-berichten en vertrouwen daarbij op het gebruikersvertrouwen in vertrouwde communicatie-apps.
  • Gebruik van hernoemde Windows-tools: De scripts kopiëren legitieme hulpprogramma’s zoals curl.exe en bitsadmin.exe en hernoemen die vervolgens naar misleidende bestandsnamen zoals netapi.dll en sc.exe.
  • Payloadlevering via vertrouwde cloudservices: Secundaire payloads worden gedownload vanaf services zoals AWS S3, Tencent Cloud en Backblaze B2.
  • Privilege escalation en persistentie: De malware manipuleert UAC-gerelateerde registerinstellingen en probeert herhaaldelijk opdrachten met verhoogde rechten uit te voeren.
  • MSI-backdoors in de laatste fase: Niet-ondertekende MSI-bestanden zoals Setup.msi, WinRAR.msi, LinkPoint.msi en AnyDesk.msi worden gebruikt om externe toegang tot stand te brengen.

Waarom dit belangrijk is

Deze campagne combineert verschillende trends die defenders steeds vaker zien:

  • Living-off-the-land-technieken met native Windows-binaries
  • Via de cloud gehoste malwarelevering die opgaat in legitiem verkeer
  • Social engineering via consumenten-messagingplatforms
  • Persistentie via MSI-installers die in beheerde omgevingen routineus kunnen lijken

Een opvallende detectiekans is de mismatch tussen de werkelijke bestandsnaam van een bestand en de ingesloten OriginalFileName PE-metadata. Securitytools die deze metadata inspecteren, kunnen hernoemde binaries mogelijk effectiever markeren.

Impact op IT-beheerders

Security- en endpointteams moeten ervan uitgaan dat alleen blokkeren op bestandstype niet voldoende is. De campagne kan oppervlakkige inspectie omzeilen door verborgen mappen, vertrouwde downloadbronnen en legitieme beheertools te gebruiken.

Organisaties die Microsoft Defender gebruiken, moeten extra letten op:

  • Activiteit van scripthosts vanaf niet-vertrouwde paden (wscript, cscript, mshta)
  • Registerwijzigingen gekoppeld aan UAC-gedrag
  • Uitvoering van niet-ondertekende MSI-bestanden
  • Netwerkverbindingen naar cloud object storage die wordt gebruikt voor payload-staging
  • Endpoint-detecties gekoppeld aan hernoemde binaries en verdachte command-line-flags

Aanbevolen vervolgstappen

  • Beperk scriptuitvoering op niet-vertrouwde locaties waar mogelijk.
  • Schakel cloud-delivered protection in in Microsoft Defender Antivirus.
  • Voer Defender for Endpoint EDR uit in block mode om artefacten te stoppen die door andere controles zijn gemist.
  • Monitor cloudverkeer op verdachte downloads vanaf AWS, Tencent Cloud en Backblaze B2.
  • Train gebruikers om onverwachte WhatsApp-bijlagen niet te openen, zelfs niet van ogenschijnlijk vertrouwde contacten.

Deze campagne herinnert eraan dat vertrouwde apps, legitieme tools en gangbare cloudservices allemaal kunnen worden ingezet als wapen. Defenders moeten endpoint-telemetrie, inspectie van cloudverkeer en gebruikersbewustzijn combineren om de blootstelling te verminderen.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
WhatsApp malwareVBSMSI backdoorMicrosoft Defenderthreat detection

Gerelateerde artikelen

Security

Microsoft Copilot Studio beveiligt agentic AI-risico’s

Microsoft beschrijft hoe Copilot Studio en de aanstaande algemene beschikbaarheid van Agent 365 organisaties kunnen helpen om de OWASP Top 10 voor Agentic Applications aan te pakken. Deze richtlijnen zijn belangrijk omdat agentic AI-systemen echte identiteiten, data en tools kunnen gebruiken, wat beveiligingsrisico’s creëert die veel verder gaan dan onjuiste output.

Security

Microsoft Defender HVA-bescherming blokkeert aanvallen

Microsoft lichtte toe hoe Microsoft Defender high-value asset awareness gebruikt om aanvallen op domain controllers, webservers en identiteitsinfrastructuur te detecteren en te stoppen. Door context uit Security Exposure Management te combineren met gedifferentieerde detecties en geautomatiseerde verstoring, kan Defender het beschermingsniveau van Tier-0-assets verhogen en de impact van geavanceerde inbraken beperken.

Security

Microsoft Entra identiteitsbeveiliging: RSAC 2026

Microsoft positioneert identiteitsbeveiliging als een uniform besturingsvlak dat identiteitsinfrastructuur, toegangsbeslissingen en threat protection in realtime combineert. Tijdens RSAC 2026 kondigde het bedrijf nieuwe mogelijkheden aan voor Microsoft Entra en Defender, waaronder een dashboard voor identiteitsbeveiliging, uniforme identity risk scoring en adaptieve risicoremediatie om organisaties te helpen fragmentatie te verminderen en sneller te reageren op identiteitsgebaseerde aanvallen.

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.