WhatsApp* стал отправной точкой для новой многоэтапной атаки на Windows

WhatsApp (принадлежит компании Meta, признан экстремистским и запрещен в России) зафиксировал новую многоэтапную атаку, в ходе которой злоумышленники рассылают вредоносные VBS-файлы, а затем развертывают MSI-пакеты с бэкдорами на компьютере жертвы. Кампания, по данным Microsoft, началась в конце февраля 2026 года.

Сценарий выглядит так: пользователь получает сообщение в WhatsApp, после чего его каким-то образом убеждают запустить прикрепленный VBS-файл.

Затем начинается цепочка скачивания дополнительных компонентов. В Microsoft особо отмечают, что атака задумана как многоэтапная и направлена ​​на получение входа в систему и удаленного доступа к устройству.

После запуска скрипт создает скрытые папки в C:\ProgramData и помещает туда переименованные легитимные утилиты Windows. Например, Curl.exe маскируется под netapi.dll, а bitsadmin.exe маскируется под sc.exe.

Это типичный метод «Жизнь за пределами земли» (LOTL): злоумышленники используют стандартные системные инструменты, чтобы слиться с обычной деятельностью и с меньшей вероятностью вызвать подозрения. В то же время Microsoft обращает внимание на их ошибку: оригинальные имена по-прежнему остаются внутри PE-метаданных таких файлов, и это может быть использовано как признак компрометации.

Далее вредоносное ПО загружает дополнительные компоненты VBS из облачных сервисов, включая AWS, Tencent Cloud и Backblaze B2. Этот шаг также не случаен: трафик на крупные облачные платформы выглядит гораздо менее подозрительно, чем доступ к явно сомнительным доменам.

Затем вредоносная программа пытается ослабить безопасность системы посредством изменений в UAC и заставить cmd.exe запускаться с повышенными привилегиями. Если это удастся, вредоносная программа закрепится в системе и переживет перезагрузку. Заключительный этап — установка пакетов MSI, среди которых Microsoft называет Setup.msi, WinRAR.msi, LinkPoint.msi и AnyDesk.msi. Здесь злоумышленники вновь прикрываются легитимными именами и инструментами, чтобы не выглядеть авторами «самодельного» вредоносного ПО.

Основная проблема заключается в том, что эти MSI предоставляют злоумышленникам полный удаленный доступ к машине. После этого они могут делать практически все: извлекать данные, внедрять в инфраструктуру новые вредоносные программы, даже программы-вымогатели или использовать зараженную систему как плацдарм для дальнейших атак. Microsoft специально подчеркивает, что финальные полезные нагрузки не подписаны, и это еще один важный показатель того, что защита не является обычным корпоративным ПО.

Отдельно Microsoft советует не рассматривать WhatsApp как известный безопасный канал. Компания прямо рекомендует обучать сотрудников распознавать подозрительные вложения и неожиданные сообщения в мессенджере, даже если платформа кажется привычной и «домашней» (не для нас в России, конечно :)).

* Принадлежит компании Мета, которая признана в России экстремистской и запрещена.