Cyberaanval via WhatsApp verspreidt malware met behulp van Visual Basic Script
Een cybercampagne, gedetecteerd door Microsoft Defender Experts vanaf eind februari 2026, maakt misbruik van WhatsApp-berichten om schadelijke Visual Basic Script-bestanden (VBS) te verspreiden. De aanvallers proberen persistente toegang te verkrijgen en kunnen via de malware de controle over geïnfecteerde systemen overnemen.
De aanvallers combineren sociale technieken met living-off-the-land-methoden, waarbij hernoemde Windows-hulpprogramma’s worden gebruikt om op te gaan in normale systeemactiviteiten.
De campagne begint met het versturen van kwaadaardige VBS-bestanden via WhatsApp, waarbij het vertrouwen in bekende communicatieplatforms wordt misbruikt. Eenmaal uitgevoerd, creëren de scripts verborgen mappen in 'C:\ProgramData' en plaatsen daar hernoemde versies van legitieme Windows-hulpprogramma’s, zoals curl.exe en bitsadmin.exe.
Ondanks de nieuwe namen behouden deze bestanden hun oorspronkelijke metadata, wat volgens Microsoft beveiligingsoplossingen kan helpen bij detectie. In omgevingen waar metadata niet actief wordt gecontroleerd, kunnen verdedigers zich richten op opdrachtregelvlaggen en netwerktelemetrie om verdachte activiteiten op te sporen.
Secundaire payloads gedownload via vertrouwde cloudplatforms
Na het verkrijgen van toegang downloadt de malware secundaire payloads, zoals auxs.vbs en WinUpdate_KB5034231.vbs, vanaf vertrouwde cloudplatforms zoals AWS, Tencent Cloud en Backblaze B2. Aanvallers misbruiken deze diensten om hun kwaadaardige activiteiten te vermommen als legitiem verkeer. Door gebruik te maken van cloudinfrastructuur wordt het voor verdedigers moeilijker om onderscheid te maken tussen normale bedrijfsactiviteiten en kwaadaardige downloads, wat past in een groeiende trend binnen cybercriminaliteit.
Zodra de secundaire payloads zijn geïnstalleerd, begint de malware met het aanpassen van User Account Control (UAC)-instellingen om de systeemverdediging te verzwakken. Het probeert herhaaldelijk de command prompt uit te voeren met verhoogde rechten en voegt persistentiemechanismen toe, zodat de infectie systeemherstarts overleeft. Deze acties stellen aanvallers in staat om privileges te escaleren, administratieve controle te verkrijgen en een langdurige aanwezigheid op geïnfecteerde apparaten te behouden.
MSI-installatieprogramma’s zonder geldig certificaat
In de laatste fase worden kwaadaardige MSI-installatieprogramma’s geïnstalleerd, zoals Setup.msi, WinRAR.msi en AnyDesk.msi. Opvallend is dat deze bestanden niet zijn voorzien van een geldig certificaat voor codeondertekening, wat een belangrijke indicator is. Deze installatieprogramma’s stellen aanvallers in staat om externe toegang te verkrijgen, waardoor ze directe controle over slachtoffersystemen krijgen. Tools zoals AnyDesk bieden aanvallers persistente externe connectiviteit, waarmee ze data kunnen stelen of extra malware kunnen installeren.
Microsoft adviseert verschillende maatregelen te nemen om de impact van deze campagne te beperken. Denk daarbij aan het versterken van endpointbeheer, het verbeteren van monitoring van cloudverkeer en het detecteren van persistentietechnieken. Daarnaast wordt aangeraden om gebruikers te trainen in het herkennen van verdachte WhatsApp-bijlagen en onverwachte berichten, en om cloudgeleverde bescherming in te schakelen in antivirusproducten. Voor Microsoft Defender Endpoint-beveiliging worden specifieke mitigatiemaatregelen aanbevolen, zoals het inschakelen van netwerkbescherming en geautomatiseerde onderzoeks- en herstelacties.
Over Wouter Hoeffnagel
