So läuft der Angriff ab
Du bekommst eine WhatsApp-Nachricht mit einer angehängten Datei. Die Datei endet auf .vbs (Visual Basic Script). VBS-Dateien sind Skripte, die Windows sofort ausführen kann. Ein Doppelklick reicht.
Was dann passiert, hat Microsoft im Detail analysiert:
- Das Skript versteckt sich: Es erstellt Ordner im Systemverzeichnis und kopiert Windows-Bordmittel dorthin. Die kopierten Programme werden umbenannt, damit Virenscanner sie nicht erkennen.
- Nachladen aus der Cloud: Über die getarnten Tools lädt das Skript weitere Dateien von Amazon AWS, Tencent Cloud und Backblaze herunter. Weil diese Cloud-Dienste vertrauenswürdig sind, schlagen viele Sicherheitsfilter nicht an.
- Sicherheitsschranken abschalten: Die Malware deaktiviert die Benutzerkontensteuerung (UAC) per Registry-Änderung. Danach kann sie Programme mit vollen Administratorrechten starten.
- Backdoor installieren: Am Ende werden Installationspakete (.msi) eingespielt, darunter eine manipulierte Version von AnyDesk. Damit haben die Angreifer dauerhaften Fernzugriff auf den Rechner.
Was die Angreifer danach können
Nach der Infektion haben die Täter vollen Zugriff auf den Rechner. Sie können Dateien kopieren, Passwörter auslesen, weitere Schadsoftware installieren oder den PC für Ransomware-Angriffe nutzen. Die Malware überlebt Neustarts.
Warum der Angriff so gefährlich ist
Der Trick: Die Angreifer schicken die Datei über WhatsApp statt per E-Mail. Das umgeht alle E-Mail-Sicherheitsfilter, Spam-Filter und Attachment-Scanner, die Firmen und Provider normalerweise einsetzen. WhatsApp-Nachrichten werden Ende-zu-Ende-verschlüsselt - kein Virenscanner kann den Inhalt vor der Zustellung prüfen.
Dazu kommt: Die Malware missbraucht nur Werkzeuge, die Windows selbst mitbringt (curl.exe, bitsadmin.exe). Sicherheitssoftware stuft diese Programme als harmlos ein, weil sie zum Betriebssystem gehören.
Wer ist betroffen?
Betroffen: Alle Windows-Nutzer, die WhatsApp Desktop verwenden. Die Datei muss auf dem Windows-PC geöffnet werden. Windows 10 und Windows 11 sind beide anfällig.
Nicht betroffen: WhatsApp auf dem Smartphone (Android und iPhone), Mac, Linux. VBS-Skripte laufen nur unter Windows.
So schützt du dich
- Keine Dateien öffnen: Wenn dir jemand per WhatsApp eine Datei schickt, die du nicht erwartest - nicht öffnen. Besonders nicht bei Dateien mit den Endungen .vbs, .js, .bat, .cmd, .msi oder .exe.
- Rückfrage stellen: Frag den Absender über einen anderen Kanal (Anruf, SMS), ob die Datei wirklich von ihm stammt. Konten können gehackt sein.
- Windows Defender aktuell halten: Microsoft hat Erkennungssignaturen für diese Kampagne veröffentlicht. Der Defender erkennt die Skripte als "Trojan:VBS/Obfuse" und "Trojan:VBS/BypassUAC".
- UAC nicht heruntersetzen: Die Benutzerkontensteuerung sollte mindestens auf der Standardstufe stehen. Wenn ein Programm nach Administratorrechten fragt und du es nicht selbst gestartet hast - ablehnen.
- WhatsApp-Einstellungen: Unter Einstellungen kannst du festlegen, dass Medien und Dateien nicht automatisch heruntergeladen werden.
Was tun, wenn du eine verdächtige Datei geöffnet hast?
- Trenne den Rechner sofort vom Internet (WLAN aus, Kabel ziehen).
- Starte einen vollständigen Scan mit Windows Defender oder Malwarebytes (kostenlose Version reicht).
- Ändere von einem anderen Gerät aus die Passwörter für E-Mail, Online-Banking und andere wichtige Konten. Tipps dazu findest du bei mein-login.info.
- Prüfe, ob AnyDesk oder andere unbekannte Programme installiert wurden (Windows-Einstellungen, Apps, nach "AnyDesk" suchen).
- Im Zweifel: Lass den Rechner von jemandem prüfen, der sich damit auskennt. Oder setze Windows komplett neu auf.
Auch per E-Mail sind gerade viele gefährliche Nachrichten unterwegs. Wir haben kürzlich über gefälschte Behörden-Mails per KI und Fake-Cloud-Speicher-Warnungen berichtet.