Security

WhatsApp malware kampanja sa VBS i MSI backdoor-ima

3 min čitanja

Sažetak

Microsoft Defender Experts su otkrili kampanju iz kasnog februara 2026. koja koristi WhatsApp poruke za isporuku zlonamernih VBS fajlova, a zatim instalira nepotpisane MSI pakete radi postojanosti i udaljenog pristupa. Napad kombinuje social engineering, preimenovane Windows alate i pouzdane cloud servise kako bi izbegao detekciju, zbog čega su kontrole na endpoint uređajima i svest korisnika od ključnog značaja.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Microsoft je objavio detalje o sofisticiranoj malware kampanji koja počinje VBS fajlovima isporučenim preko WhatsApp-a, a završava se trajnim udaljenim pristupom kroz zlonamerne MSI instalere. Za IT i bezbednosne timove ovo je važno zato što napadači zloupotrebljavaju legitimne Windows alate i pouzdane cloud platforme, što otežava razlikovanje ove aktivnosti od uobičajenog enterprise saobraćaja.

Šta je novo u ovoj kampanji

Microsoft Defender Experts su primetili početak kampanje krajem februara 2026. Lanac napada uključuje više faza osmišljenih da izbegnu detekciju i održe dugoročan pristup:

  • Početni pristup preko WhatsApp-a: Napadači šalju zlonamerne .vbs fajlove putem WhatsApp poruka, oslanjajući se na poverenje korisnika u poznate aplikacije za komunikaciju.
  • Upotreba preimenovanih Windows alata: Skripte kopiraju legitimne alate kao što su curl.exe i bitsadmin.exe, a zatim ih preimenuju u obmanjujuće nazive poput netapi.dll i sc.exe.
  • Isporuka payload-a sa pouzdanih cloud servisa: Sekundarni payload-i se preuzimaju sa servisa kao što su AWS S3, Tencent Cloud i Backblaze B2.
  • Eskalacija privilegija i postojanost: Malware menja registry podešavanja povezana sa UAC-om i više puta pokušava izvršavanje komandi sa povišenim privilegijama.
  • MSI backdoor-i u završnoj fazi: Nepotpisani MSI fajlovi kao što su Setup.msi, WinRAR.msi, LinkPoint.msi i AnyDesk.msi koriste se za uspostavljanje udaljenog pristupa.

Zašto je ovo značajno

Ova kampanja kombinuje nekoliko trendova koje branioci sve češće viđaju:

  • Living-off-the-land tehnike koje koriste izvorne Windows binarne fajlove
  • Isporuku malware-a sa cloud hostinga koja se uklapa u legitimni saobraćaj
  • Social engineering preko potrošačkih platformi za razmenu poruka
  • Postojanost kroz MSI instalere koji mogu delovati rutinski u upravljanim okruženjima

Značajna prilika za detekciju je neslaganje između stvarnog naziva fajla i ugrađenih OriginalFileName PE metapodataka. Bezbednosni alati koji proveravaju ove metapodatke mogu efikasnije označiti preimenovane binarne fajlove.

Uticaj na IT administratore

Bezbednosni i endpoint timovi treba da polaze od toga da blokiranje samo po tipu fajla nije dovoljno. Kampanja može zaobići površnu proveru korišćenjem skrivenih foldera, pouzdanih izvora za preuzimanje i legitimnih administrativnih alata.

Organizacije koje koriste Microsoft Defender treba da obrate posebnu pažnju na:

  • Aktivnost script host procesa sa nepouzdanih putanja (wscript, cscript, mshta)
  • Registry izmene povezane sa UAC ponašanjem
  • Izvršavanje nepotpisanih MSI fajlova
  • Mrežne konekcije ka cloud object storage servisima koji se koriste za staging payload-a
  • Endpoint detekcije povezane sa preimenovanim binarnim fajlovima i sumnjivim command-line parametrima

Preporučeni sledeći koraci

  • Ograničite izvršavanje skripti na nepouzdanim lokacijama gde god je to moguće.
  • Omogućite cloud-delivered protection u Microsoft Defender Antivirus.
  • Pokrenite Defender for Endpoint EDR u block mode-u kako biste zaustavili artefakte koje druge kontrole propuste.
  • Pratite cloud saobraćaj zbog sumnjivih preuzimanja sa AWS, Tencent Cloud i Backblaze B2 servisa.
  • Obučite korisnike da ne otvaraju neočekivane WhatsApp priloge, čak ni kada dolaze od naizgled pouzdanih kontakata.

Ova kampanja podseća da pouzdane aplikacije, legitimni alati i uobičajeni cloud servisi mogu biti pretvoreni u oružje. Branioci treba da kombinuju endpoint telemetriju, inspekciju cloud saobraćaja i svest korisnika kako bi smanjili izloženost.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
WhatsApp malwareVBSMSI backdoorMicrosoft Defenderthreat detection

Povezani članci

Security

Copilot Studio i OWASP rizici za Agentic AI

Microsoft objašnjava kako Copilot Studio i predstojeća opšta dostupnost Agent 365 mogu pomoći organizacijama da adresiraju OWASP Top 10 za Agentic Applications. Ove smernice su važne jer agentic AI sistemi mogu koristiti stvarne identitete, podatke i alate, stvarajući bezbednosne rizike koji daleko prevazilaze netačne izlaze.

Security

{{Microsoft Defender HVA zaštita blokira napade}}

{{Microsoft je objavio kako Microsoft Defender koristi svest o high-value asset resursima da otkrije i zaustavi napade usmerene na domain controllers, web servere i identity infrastrukturu. Kombinovanjem konteksta iz Security Exposure Management, diferenciranih detekcija i automatizovanog ometanja napada, Defender može da podigne nivo zaštite za Tier-0 resurse i smanji domet sofisticiranih upada.}}

Security

{{Bezbednost identiteta u Microsoft Entra: RSAC 2026}}

Microsoft pozicionira bezbednost identiteta kao objedinjenu kontrolnu ravan koja u realnom vremenu kombinuje infrastrukturu identiteta, odluke o pristupu i zaštitu od pretnji. Na RSAC 2026, kompanija je najavila nove mogućnosti za Microsoft Entra i Defender, uključujući kontrolnu tablu za bezbednost identiteta, objedinjeno ocenjivanje rizika identiteta i adaptivnu sanaciju rizika kako bi organizacijama pomogla da smanje fragmentaciju i brže odgovore na napade zasnovane na identitetu.

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.