Wir patchen unsere Server zu Tode, aber am Ende öffnet jemand ein ".vbs"-File in WhatsApp Desktop. Game over. (wirklich so schnell!)

Der aktuelle Microsoft Defender Report zu einer neuen WhatsApp-Malware-Kampagne ist ein Lehrstück in Sachen "Living off the Land" (LotL). Während wir nach neuen, komplexen Exploits suchen, nutzen die Angreifer einfach das, was auf Windows-System tooltechnisch von Haus aus gegeben ist... und tarnen es so gut, dass selbst erfahrene Admins zweimal hinschauen müssen.

Das Problem: Social Engineering trifft auf System-Tools. Die Attacke startet nicht auf dem Handy, sondern dort, wo wir uns sicher fühlen: am Arbeitsplatz. Per WhatsApp kommen schädliche VBS-Skripte (Visual Basic Script). Wer klickt, startet eine Kette, die so "stealthy" ist, dass sie fast schon wieder elegant wirkt 😏

Die technische Wunde: Die Tarnkappen-Taktik. Die Angreifer nutzen keine offensichtliche Malware, sondern verbiegen das System:

: Legitime Windows-Tools wie curl.exe und bitsadmin.exe werden in versteckte Ordner kopiert und in netapi.dll oder sc.exe umbenannt. Die PE-Metadaten bleiben gleich, aber der Name täuscht simple Systemaktivität vor.

-Weaponization: Die Payloads liegen auf AWS, Tencent oder Backblaze. Wer filtert schon legitimen Cloud-Traffic komplett weg?

UAC-Bruteforcing: Das Skript versucht so lange mit Admin-Rechten zu starten, bis der User genervt auf "Ja" klickt oder die Registry-Einträge für UAC-Prompts im Hintergrund manipuliert wurden.

Die Lösung: Härtung statt nur Detektion, denn leider reicht ein reiner Virenscanner hier nicht, wenn das Tooling "legit" ist.

What to do:

1️⃣ Script-Execution blocken: wscript.exe und cscript.exe haben in User-Verzeichnissen (besonders AppData oder ProgramData) nichts verloren.

2️⃣ Metadata-Monitoring: EDR-Tools müssen auf Diskrepanzen zwischen Dateiname und OriginalFileName in den PE-Headern triggern.

3️⃣ User-Education: WhatsApp ist im Business-Kontext ein riesiger blinder Fleck. Anhänge dort sind genauso kritisch zu prüfen wie E-Mail-Attachments.

Am Ende landet ein unsigniertes MSI-Paket auf dem Rechner, das via AnyDesk den direkten Remote-Zugriff erlaubt. Die Backdoor ist offen, und der Angreifer sitzt mit im Büro 🫱🏻‍🫲🏾 Zeit für eine weitere Tasse Kaffee...