TTS-Player überspringen↵Artikel weiterlesen
Cyberkriminelle nutzen derzeit WhatsApp, um Schadsoftware auf Windows-PCs einzuschleusen. Im Fokus stehen Nutzer der Desktop-Version von WhatsApp unter Windows 11. Der Grund: Dateien lassen sich dort direkt ausführen. Genau das nutzen Angreifer, um Zugriff auf Computer zu bekommen.
Die Täter verschicken manipulierte Visual-Basic-Skripte über den Messenger. Diese wirken harmlos. Öffnen Nutzer die Anhänge, startet eine mehrstufige Infektion. Laut Microsoft-Defender-Security-Team erstellt das Skript zunächst versteckte Ordner im Verzeichnis „C:\ProgramData“. Dort werden veränderte Versionen legitimer Windows-Programme abgelegt. Diese tragen Namen wie „netapi.dll“ oder „sc.exe,“ um unauffällig zu bleiben.
Schadsoftware lädt sich nach
Im nächsten Schritt laden diese Programme weitere Komponenten aus Cloud-Diensten wie Amazon Web Services oder Tencent Cloud herunter. Laut Microsoft tarnt sich der Datenverkehr so als normal. Danach verändert die Malware wichtige Sicherheitseinstellungen. Die Benutzerkontensteuerung wird deaktiviert, um Abfragen zu umgehen und Administratorrechte über cmd.exe zu erhalten. Zusätzlich legt die Software Registry-Einträge an, um dauerhaft aktiv zu bleiben.
Zum Abschluss werden unsignierte Installationsdateien wie Setup.msi, WinRAR.msi, LinkPoint.msi oder AnyDesk.msi geladen. Diese enthalten Fernwartungssoftware. Angreifer erhalten so langfristigen Zugriff, können Daten auslesen oder weitere Malware installieren.
So können Sie sich schützen
Microsoft rät, Scripting-Hosts zu blockieren und den Datenverkehr zu überwachen. Unternehmen sollten Mitarbeitende sensibilisieren. Denn bei dieser Methode spielt Social Engineering eine wichtige Rolle. Nachrichten unbekannter Absender sollten immer mit Vorsicht behandelt werden.