Вредоносная кампания WhatsApp с VBS и MSI-бэкдорами

Введение

Microsoft опубликовала подробности о сложной вредоносной кампании, которая начинается с доставляемых через WhatsApp VBS-файлов и заканчивается постоянным удалённым доступом через вредоносные установщики MSI. Для ИТ- и security-команд это важно, потому что злоумышленники используют легитимные инструменты Windows и доверенные облачные платформы, из-за чего такую активность сложнее отличить от обычного корпоративного трафика.

Что нового в этой кампании

Microsoft Defender Experts наблюдали эту кампанию, начиная с конца февраля 2026 года. Цепочка атаки включает несколько этапов, разработанных для обхода обнаружения и сохранения долгосрочного доступа:

• Первичный доступ через WhatsApp: Злоумышленники отправляют вредоносные файлы .vbs в сообщениях WhatsApp, опираясь на доверие пользователей к привычным приложениям для общения.
• Использование переименованных инструментов Windows: Скрипты копируют легитимные утилиты, такие как curl.exe и bitsadmin.exe, а затем переименовывают их в вводящие в заблуждение имена вроде netapi.dll и sc.exe.
• Доставка полезной нагрузки через доверенные облачные сервисы: Вторичные полезные нагрузки загружаются из сервисов, включая AWS S3, Tencent Cloud и Backblaze B2.
• Повышение привилегий и закрепление: Вредоносное ПО изменяет связанные с UAC параметры реестра и многократно пытается выполнить команды с повышенными правами.
• MSI-бэкдоры финальной стадии: Для организации удалённого доступа используются неподписанные MSI-файлы, такие как Setup.msi, WinRAR.msi, LinkPoint.msi и AnyDesk.msi.

Почему это важно

Эта кампания сочетает несколько тенденций, которые защитники всё чаще наблюдают:

• Living-off-the-land techniques с использованием встроенных бинарных файлов Windows
• Cloud-hosted malware delivery, маскирующаяся под легитимный трафик
• Социальная инженерия через потребительские платформы обмена сообщениями
• Закрепление через MSI-установщики, которые могут выглядеть рутинно в управляемых средах

Заметная возможность для обнаружения — несоответствие между фактическим именем файла и встроенными PE-метаданными OriginalFileName. Средства безопасности, которые анализируют эти метаданные, могут эффективнее выявлять переименованные бинарные файлы.

Влияние на ИТ-администраторов

Командам безопасности и управления конечными точками следует исходить из того, что одной лишь блокировки по типу файла недостаточно. Эта кампания может обходить поверхностную проверку, используя скрытые папки, доверенные источники загрузки и легитимные административные инструменты.

Организациям, использующим Microsoft Defender, следует уделить особое внимание:

• Активности script host из недоверенных путей (wscript, cscript, mshta)
• Изменениям реестра, связанным с поведением UAC
• Выполнению неподписанных MSI
• Сетевым подключениям к облачному object storage, используемому для staging полезной нагрузки
• Обнаружениям на конечных точках, связанным с переименованными бинарными файлами и подозрительными флагами командной строки

Рекомендуемые следующие шаги

• Ограничьте выполнение скриптов в недоверенных расположениях, где это возможно.
• Включите cloud-delivered protection в Microsoft Defender Antivirus.
• Запустите Defender for Endpoint EDR in block mode, чтобы блокировать артефакты, пропущенные другими средствами защиты.
• Мониторьте облачный трафик на предмет подозрительных загрузок из AWS, Tencent Cloud и Backblaze B2.
• Обучайте пользователей не открывать неожиданные вложения WhatsApp, даже если они пришли от на первый взгляд доверенных контактов.

Эта кампания напоминает, что доверенные приложения, легитимные инструменты и распространённые облачные сервисы могут быть превращены в оружие. Защитникам следует сочетать телеметрию конечных точек, анализ облачного трафика и обучение пользователей, чтобы снизить риск компрометации.