{"id":70050,"date":"2026-04-03T04:52:06","date_gmt":"2026-04-03T04:52:06","guid":{"rendered":"https:\/\/www.europesays.com\/ch-de\/70050\/"},"modified":"2026-04-03T04:52:06","modified_gmt":"2026-04-03T04:52:06","slug":"vbs-malware-nutzt-cloud-dienste-fuer-hintertueren","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/ch-de\/70050\/","title":{"rendered":"VBS-Malware nutzt Cloud-Dienste f\u00fcr Hintert\u00fcren"},"content":{"rendered":"<p>Eine aktuelle Malware-Kampagne nutzt WhatsApp Desktop auf Windows aus, um \u00fcber manipulierte Anh\u00e4nge dauerhafte Fernzugriffe zu installieren. Microsoft-Forscher warnen vor der mehrstufigen Infektionskette.<\/p>\n<p>Eine raffinierte Malware-Kampagne nutzt WhatsApp Desktop auf Windows aus, um \u00fcber sch\u00e4dliche Skripte dauerhafte Hintert\u00fcren zu installieren. Microsoft-Forscher warnen vor einer mehrstufigen Infektionskette, die seit Ende Februar aktiv ist und die Vertrauensstellung von Messenger-Plattformen ausnutzt.<\/p>\n<p>Die Bedrohungslandschaft f\u00fcr Messenger verschiebt sich: Angreifer konzentrieren sich zunehmend auf Desktop-Umgebungen, w\u00e4hrend mobile Betriebssysteme besser gesch\u00fctzt sind. Die Ende-zu-Ende-Verschl\u00fcsselung von WhatsApp sch\u00fctzt nicht vor b\u00f6sartigen Dateianh\u00e4ngen, die Nutzer herunterladen und ausf\u00fchren. Dieser Vorfall unterstreicht einen wachsenden Trend: Legitime Kommunikationstools werden als Vehikel f\u00fcr \u201eLiving-off-the-Land\u201c-Angriffe missbraucht, bei denen bereits installierte Systemwerkzeuge f\u00fcr Schadaktivit\u00e4ten genutzt werden.<\/p>\n<p>Anzeige<\/p>\n<p>Achtung: Diese unsichtbaren Spionage-Programme lauern gerade auf Ihrem Windows-PC. Sicherheitsexperten warnen \u2013 so sch\u00fctzen Sie sich sofort und kostenlos. <a href=\"https:\/\/viren-ticker.de\/anti-virus\/?af=KOOP_CW_VIT_DNV_YES_ANTI-VIRUS-PAKET_X-RSS-Ad-Hoc-News-AD1of2-EAID-816873\" rel=\"noopener nofollow\" style=\"color: #337ab7 !important; font-weight: bold; text-decoration: underline;\" target=\"_blank\">Gratis-Ratgeber der PC-Sicherheits-Experten jetzt sichern<\/a><\/p>\n<p>So funktioniert die mehrstufige VBS-Attacke<\/p>\n<p>Die Infektion beginnt mit einem scheinbar harmlosen Dateianhang in einer WhatsApp-Nachricht. Laut Berichten von Microsoft und unabh\u00e4ngigen Sicherheitsanalysten handelt es sich dabei typischerweise um Visual Basic Script (.vbs)-Dateien. Im Gegensatz zur mobilen App erlaubt die Windows-Desktop-Version die direkte Interaktion mit solchen Skripten. Die Angreifer setzen auf Social Engineering und tarnen die Anh\u00e4nge als dringende Rechnungen oder Systemupdates, um Empf\u00e4nger zum Klicken zu verleiten.<\/p>\n<p>Wird die .vbs-Datei ausgef\u00fchrt, startet eine komplexe Infektionskette. Das erste Skript enth\u00e4lt nicht die Hauptmalware, sondern dient als Downloader. Es erstellt versteckte Verzeichnisse im C:ProgramData-Ordner, um weitere Komponenten zu speichern. Zur Tarnung kopiert es legitime Windows-Werkzeuge und benennt sie um: So wurde etwa curl.exe als netapi.dll und bitsadmin.exe als sc.exe getarnt. Da die Metadaten dieser Dateien weiterhin auf vertrauensw\u00fcrdige Microsoft-Tools verweisen, umgehen sie oft einfache Sicherheitspr\u00fcfungen.<\/p>\n<p>Tarnung durch seri\u00f6se Cloud-Infrastruktur<\/p>\n<p>Ein Schl\u00fcssel zum Erfolg der Kampagne ist die Nutzung renommierter Cloud-Dienste wie Amazon Web Services (AWS) S3, Tencent Cloud und Backblaze B2. Dort hosten die Angreifer ihre sch\u00e4dlichen Nutzlasten. Der dadurch erzeugte Netzwerkverkehr sieht f\u00fcr Administratoren oder Sicherheitsgateways wie eine normale Verbindung zu einem bekannten Cloud-Anbieter aus \u2013 nicht wie der Kontakt zu einem verd\u00e4chtigen Command-and-Control-Server.<\/p>\n<p>Diese Strategie reduziert das \u201eRauschen\u201c w\u00e4hrend der Infektionsphase erheblich. Die umbenannten Windows-Utilities laden die n\u00e4chste Angriffsstufe aus diesen Cloud-Speichern. Dabei handelt es sich oft um weitere VBS-Skripte, die das System f\u00fcr eine permanente Hintert\u00fcr vorbereiten. Sie pr\u00fcfen die Systemumgebung, suchen nach bestimmter Sicherheitssoftware und ermitteln, ob der Nutzer Administratorrechte besitzt.<\/p>\n<p>Die Nutzung vertrauensw\u00fcrdiger Infrastrukturen gew\u00e4hrleistet eine hohe Erfolgsquote in der ersten Angriffsphase. Gleichzeitig bietet sie den Angreifern Flexibilit\u00e4t: Wird ein Cloud-Speicher gesperrt, kann der Downloader schnell auf einen anderen legitimen Hosting-Dienst umgeleitet werden. Das macht die Kampagne widerstandsf\u00e4hig gegen traditionelle Blockademethoden.<\/p>\n<p>Von Social Engineering zur totalen Systemkontrolle<\/p>\n<p>Die gef\u00e4hrlichste Phase beginnt mit der Rechteausweitung und der Installation einer persistenten Hintert\u00fcr. Die Malware versucht aggressiv, die Windows User Account Control (UAC) zu umgehen. Sie startet wiederholt Kommandozeilen mit Administratorrechten, bis sie Erfolg hat oder manuell beendet wird.<\/p>\n<p>Nach Erlangung der Admin-Rechte manipuliert das Skript die Systemregistrierung unter HKLM\\Software\\Microsoft\\Windows. Dadurch werden k\u00fcnftige Sicherheitsabfragen unterdr\u00fcckt und der Schadcode bleibt auch nach einem Neustart aktiv.<\/p>\n<p>Die finale Nutzlast wird oft als unsigniertes Microsoft Installer (.msi)-Paket geliefert. Diese Pakete tarnen sich als Installer f\u00fcr beliebte Tools wie WinRAR oder AnyDesk. Da .msi-Dateien f\u00fcr Windows-Software typisch sind, wirken sie auf unbedarfte Nutzer weniger verd\u00e4chtig. In Wirklichkeit installieren sie Remote-Access-Trojaner (RATs), die den Angreifern die vollst\u00e4ndige Fernsteuerung des Ger\u00e4ts erm\u00f6glichen.<\/p>\n<p>Ist die Hintert\u00fcr einmal etabliert, sind die Folgen gravierend: Angreifer k\u00f6nnen sensible pers\u00f6nliche oder Unternehmensdaten abziehen, die Nutzeraktivit\u00e4t per Keylogger \u00fcberwachen und die infizierte Maschine als Sprungbrett f\u00fcr weitere Angriffe im lokalen Netzwerk nutzen. Das Fehlen digitaler Signaturen bei den MSI-Paketen ist ein klares Warnsignal \u2013 doch viele Nutzer ignorieren die Warnungen des Betriebssystems, ein Beleg f\u00fcr die Wirksamkeit des anf\u00e4nglichen Social Engineerings.<\/p>\n<p>Schutzma\u00dfnahmen und Metas Sicherheitsentwicklung<\/p>\n<p>Als Reaktion auf die wachsende Bedrohung durch sch\u00e4dliche Anh\u00e4nge hat Meta mehrere Sicherheitsverbesserungen f\u00fcr WhatsApp eingef\u00fchrt. Im Januar 2026 startete die Funktion \u201eStrikte Kontoeinstellungen\u201c, die besonders gef\u00e4hrdete Nutzer wie Journalisten sch\u00fctzen soll. Sie blockiert alle Medien- und Dateianh\u00e4nge von Absendern, die nicht in der Kontaktliste stehen.<\/p>\n<p>Zuvor hatte Meta bereits eine spezifische Schwachstelle (CVE-2025-30401) im April 2025 geschlossen. Dabei konnte die Dateiendung manipuliert werden, um ausf\u00fchrbare Dateien als harmlose Bilder zu tarnen. Die aktuelle Kampagne von 2026 nutzt jedoch keine Softwarel\u00fccke in WhatsApp selbst aus, sondern setzt auf menschliche Psychologie und den Missbrauch legitimer Systemskripte.<\/p>\n<p>Anzeige<\/p>\n<p>Warum immer mehr Windows-Nutzer auf dieses kostenlose Sicherheitspaket von Computerwissen schw\u00f6ren: Der Gratis-Ratgeber der PC-Experten macht Ihren Rechner zur Festung gegen Viren und Hacker. <a href=\"https:\/\/viren-ticker.de\/anti-virus\/?af=KOOP_CW_VIT_DNV_YES_ANTI-VIRUS-PAKET_X-RSS-Ad-Hoc-News-AD2of2-EAID-816873\" rel=\"noopener nofollow\" style=\"color: #337ab7 !important; font-weight: bold; text-decoration: underline;\" target=\"_blank\">Kostenlosen Experten-Report jetzt herunterladen<\/a><\/p>\n<p>Cybersicherheitsexperten empfehlen Windows-Nutzern folgende proaktive Schritte:<br \/>*   Dateiendungen anzeigen: Im Windows-Explorer sollte die Anzeige von Dateinamenerweiterungen aktiviert sein. So erkennt man leichter eine angebliche Dokumentdatei, die auf .vbs oder .msi endet.<br \/>*   Unerwartete Anh\u00e4nge pr\u00fcfen: Auch bei Nachrichten von bekannten Kontakten sollten unerwartete Anh\u00e4nge \u00fcber einen zweiten Kommunikationskanal verifiziert werden \u2013 das Konto des Absenders k\u00f6nnte kompromittiert sein.<br \/>*   Echtzeitschutz nutzen: Eine aktuelle Endpoint Detection and Response (EDR)-L\u00f6sung ist essenziell. Moderne Sicherheitstools k\u00f6nnen oft die \u201eMetadaten-Diskrepanz\u201c bei umbenannten Windows-Bin\u00e4rdateien erkennen.<br \/>*   Apps aktuell halten: Der WhatsApp Desktop-Client sollte stets \u00fcber den Microsoft Store oder die offizielle Website auf dem neuesten Stand sein.<\/p>\n<p>Ausblick: Messenger als neue Angriffsfront<\/p>\n<p>Diese WhatsApp-basierte Hintert\u00fcr-Kampagne spiegelt eine breitere Entwicklung wider. Da mobile Betriebssysteme wie iOS und Android gegen dateibasierte Angriffe h\u00e4rter geworden sind, verlagern Bedrohungsakteure ihre bem\u00fchungen auf die Desktop-Umgebung. Dort sind Nutzerberechtigungen oft weiter gefasst und die Unterst\u00fctzung f\u00fcr \u00e4ltere Skripte bleibt aktiv.<\/p>\n<p>Die Nutzung von Messengern als Hauptvektor ist besonders effektiv, weil diese Plattformen oft von den strengen Filterrichtlinien f\u00fcr E-Mail-Anh\u00e4nge in Unternehmen ausgenommen sind.<\/p>\n<p>Experten erwarten k\u00fcnftig mehr \u201eLow-Noise\u201c-Kampagnen, die legitime Cloud-Anbieter und eingebaute Systemtools nutzen. Die Herausforderung f\u00fcr Sicherheitsanbieter wird sein, eine ausgefeiltere Verhaltensanalyse zu entwickeln, die zwischen der legitimen Nutzung von curl.exe durch einen Administrator und dem Missbrauch durch ein Schadskript unterscheiden kann. F\u00fcr Nutzer bleibt das beste Mittel ein gesundes Misstrauen gegen\u00fcber unaufgeforderten digitalen Kommunikationen \u2013 unabh\u00e4ngig davon, auf welcher Plattform sie eintreffen.<\/p>\n","protected":false},"excerpt":{"rendered":"Eine aktuelle Malware-Kampagne nutzt WhatsApp Desktop auf Windows aus, um \u00fcber manipulierte Anh\u00e4nge dauerhafte Fernzugriffe zu installieren. Microsoft-Forscher&hellip;\n","protected":false},"author":2,"featured_media":70051,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15],"tags":[19722,46,16635,6619,19723,19720,19721,19724,45,60,59,44,64,61,19719,1884,558,63,62],"class_list":{"0":"post-70050","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-anhaenge","9":"tag-ch","10":"tag-cloud-dienste","11":"tag-desktop","12":"tag-fernzugriffe","13":"tag-hintertueren","14":"tag-malware-kampagne","15":"tag-microsoft-forscher","16":"tag-schweiz","17":"tag-science","18":"tag-science-technology","19":"tag-switzerland","20":"tag-technik","21":"tag-technology","22":"tag-vbs-malware","23":"tag-whatsapp","24":"tag-windows","25":"tag-wissenschaft","26":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@ch_de\/116338978130859404","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/70050","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/comments?post=70050"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/70050\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media\/70051"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media?parent=70050"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/categories?post=70050"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/tags?post=70050"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}