WhatsApp als Angriffsvector: Malware-Kampagne installiert Backdoors auf Windows-Systemen

Microsoft hat eine Malware-Kampagne identifiziert, die seit Ende Februar aktiv ist und einen ungewöhnlichen Verbreitungsweg nutzt: Angreifer verschicken bösartige Dateien über WhatsApp — direkt in die Messenger-Postfächer von Mitarbeitern und Privatpersonen.

Das Ziel: Unbemerkt eine Backdoor auf Windows-Systemen zu installieren, die dauerhaften Fernzugriff ermöglicht.

So funktioniert die Angriffskette

Die Kampagne ist technisch aufwändig und mehrstufig aufgebaut — ein klares Zeichen dafür, dass hinter dem Angriff professionelle Akteure stehen:

• Stufe 1 – Erster Kontakt per WhatsApp: Opfer erhalten eine VBS-Datei (Visual Basic Script) über WhatsApp Desktop für Windows. Wer die Datei öffnet, startet unwissentlich die Infektionskette.
• Stufe 2 – Tarnung durch Windows-Bordmittel: Das Script nutzt sogenannte „Living-off-the-land"-Techniken: Es verwendet umbenannte Windows-Systemwerkzeuge wie curl.exe oder bitsadmin.exe, um nicht als Malware erkannt zu werden.
• Stufe 3 – Nachladen aus der Cloud: Weitere Schaddateien werden aus legitimen Cloud-Diensten (AWS S3, Tencent Cloud, Backblaze B2) heruntergeladen. Da diese Dienste im Unternehmensalltag verbreitet sind, fällt der Traffic in vielen Netzwerken nicht auf.
• Stufe 4 – Persistenz und Eskalation: Die Malware verankert sich im System über Registry-Einträge und modifiziert UAC-Einstellungen, um auch nach einem Neustart aktiv zu bleiben.
• Stufe 5 – Installation der Backdoor: Abschließend werden unsignierte MSI-Installer eingespielt — verkleidet als bekannte Software wie WinRAR oder AnyDesk — die Fernzugriff auf das System ermöglichen.

Warum ist das besonders gefährlich?

Klassische Phishing-Angriffe laufen über E-Mail — und viele Unternehmen haben dafür Schutzmaßnahmen implementiert. WhatsApp hingegen wird häufig als persönlicher und vertrauenswürdiger Kanal wahrgenommen. Die Hemmschwelle, dort eine Datei zu öffnen, ist deutlich niedriger.

Hinzu kommt die technische Raffinesse: Durch die Nutzung legitimer Windows-Tools und bekannter Cloud-Dienste entgeht die Malware vielen herkömmlichen Antivirenlösungen.

Wer ist betroffen?

Grundsätzlich alle Windows-Nutzer, die WhatsApp Desktop verwenden. Besonders gefährdet sind Unternehmen, in denen Mitarbeiter WhatsApp für die geschäftliche Kommunikation nutzen — ohne klare Richtlinien für den Umgang mit empfangenen Dateien.

Was können Sie tun?

• Mitarbeiter sensibilisieren: Niemand sollte Dateianhänge aus unbekannten Quellen öffnen — auch nicht über Messenger wie WhatsApp.
• Scripting-Hosts einschränken: In Unternehmensumgebungen sollte die Ausführung von VBS- und ähnlichen Skriptdateien durch Gruppenrichtlinien unterbunden werden.
• Cloud-Traffic überwachen: Auffällige Verbindungen zu Cloud-Speicherdiensten außerhalb des normalen Workflows sollten protokolliert und geprüft werden.
• Endpoint-Schutz aktuell halten: Moderne Endpoint-Detection-Lösungen (EDR) erkennen auch „Living-off-the-land"-Angriffe zuverlässiger als klassische Antivirensoftware.
• MSI-Installation einschränken: Nur signierte und freigegebene Software sollte installierbar sein — am besten über ein zentrales Software-Deployment-System.

Unser Fazit

Dieser Angriff zeigt exemplarisch, wie Cyberkriminelle vertrauenswürdige Kanäle und legitime Werkzeuge missbrauchen, um Schutzmaßnahmen zu umgehen. IT-Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess — aus technischen Maßnahmen und regelmäßiger Sensibilisierung der Mitarbeiter.

Wenn Sie wissen möchten, wie gut Ihr Unternehmen gegen solche Angriffe geschützt ist, sprechen Sie uns an. Wir analysieren Ihre aktuelle Sicherheitssituation und zeigen Ihnen konkrete Maßnahmen auf.