A Microsoft egy új kampányra hívta fel a figyelmet, amely WhatsApp-üzeneteket használ rosszindulatú Visual Basic Script (VBS) fájlok terjesztésére.

A 2026. február végén kezdődő támadás ezeket a szkripteket használja fel egy többlépcsős fertőzési lánc elindításához, amelynek célja a rendszerben való tartós jelenlét megteremtése és a távoli hozzáférés lehetővé tétele. Jelenleg nem ismert, hogy a támadók milyen megtévesztő üzenetekkel veszik rá a felhasználókat a szkriptek futtatására.

„A kampány a social engineering és a living-off-the-land technikák kombinációjára épül” közölte a Microsoft Defender Security Research Team. „A normál rendszertevékenységbe való beolvadás érdekében átnevezett Windows-segédprogramokat használ, megbízható felhőszolgáltatásokból, például AWS-ből, Tencent Cloudból és Backblaze B2-ből tölti le a payloadokat, valamint rosszindulatú Microsoft Installer (MSI) csomagokat telepít a rendszer feletti ellenőrzés fenntartására.”

A legális eszközök és megbízható platformok együttes használata különösen veszélyes kombináció, mivel lehetővé teszi a támadók számára, hogy beolvadjanak a normális hálózati forgalomba, és így növeljék támadásaik sikerességének esélyét.

A támadás azzal kezdődik, hogy a támadók rosszindulatú VBS fájlokat terjesztenek WhatsApp-üzeneteken keresztül, amelyek futtatás után rejtett mappákat hoznak létre a „C:\ProgramData” könyvtárban, és olyan legitim Windows-segédprogramok átnevezett példányait helyezik el, mint a „curl.exe” („netapi.dll” névre átnevezve) és a „bitsadmin.exe” („sc.exe” névre átnevezve).

A kezdeti kompromittációt követően a támadók célja, hogy tartós hozzáférést biztosítsanak maguknak, kiterjesszék jogosultságaikat, és végül rosszindulatú MSI csomagokat telepítsenek az áldozatok rendszerein. Ezt úgy érik el, hogy az átnevezett bináris fájlok segítségével letöltik az AWS S3, a Tencent Cloud és a Backblaze B2 szolgáltatásokon tárolt kiegészítő VBS-fájlokat.

„Miután a másodlagos kártékony kódok telepítésre kerülnek, a kártevő program megkezdi a User Account Control (UAC) beállításainak manipulálását a rendszervédelmi mechanizmusok gyengítése érdekében”, közölte a redmondi vállalat. „Folyamatosan megkísérli emelt jogosultsággal elindítani a cmd.exe folyamatot, addig ismételve a próbálkozást, amíg a UAC-emelés sikerrel nem jár, vagy a folyamatot kényszerítetten le nem állítják; módosítja a HKLM\Software\Microsoft\Win alatti rendszerleíró bejegyzéseket, és olyan perzisztencia-mechanizmusokat ágyaz be annak biztosítására, hogy a fertőzés rendszer-újraindítás után is fennmaradjon.”

Ezek a műveletek lehetővé teszik a támadók számára, hogy a felhasználó beavatkozása nélkül, magasabb szintű jogosultságot szerezzenek a rendszerleíró adatbázis manipulációjának és a UAC-megkerülési technikáknak a kombinációjával, majd végül aláírás nélküli MSI telepítő programokat juttassanak a rendszerre. Ide tartoznak olyan legitim eszközök is, mint például az AnyDesk, amely tartós távoli hozzáférést biztosít a támadók számára, lehetővé téve az adatok kiszivárogtatását vagy további kártevőprogramok telepítését.
„Ez a kampány egy kifinomult fertőzési láncot mutat be, amely a social engineeringet (WhatsApp-alapú kézbesítés), a rejtőzködési technikákat (átnevezett legitim eszközök, rejtett attribútumok) és a felhőalapú payload-hostingot ötvözi”, közölte a Microsoft.