Sicherheitsforscher von Kaspersky haben eine umfangreiche Malware-Kampagne aufgedeckt, die offenbar gezielt den Messenger-Dienst WhatsApp zur Verbreitung schädlicher Dateien nutzt. Die Angreifer setzen dabei auf kompromittierte Nutzerkonten und verschicken täuschend echt wirkende Geschäftsdokumente an bestehende Kontakte. Durch das vorhandene Vertrauensverhältnis steigt die Wahrscheinlichkeit, dass Empfänger die Dateien öffnen und die Schadsoftware unbeabsichtigt installieren.
Nach Angaben der Experten weist die Kampagne Merkmale einer internationalen Ausrichtung auf. Die verwendeten Dateinamen sind in mehreren Sprachen lokalisiert, darunter Deutsch, Englisch, Französisch und Portugiesisch. Dies deutet auf eine breite Zielgruppe hin, die auch Nutzer in Deutschland einschließt.
Gefälschte Rechnungen und Zahlungsdokumente als Köder
Die Angreifer tarnen die Schadsoftware als alltägliche Geschäftsdokumente. Verwendet werden unter anderem Bezeichnungen, die an Rechnungen, Zahlungsbestätigungen, Kontoauszüge oder Mahnungen erinnern. Auf den ersten Blick wirken die Anhänge seriös und passen in ein geschäftliches Umfeld.
Zusätzlich enthalten die eingesetzten Skripte Hinweise und Metadaten, die legitime Windows-Komponenten imitieren sollen. Ziel dieser Vorgehensweise ist es, Misstrauen zu vermeiden und die schädlichen Dateien möglichst authentisch erscheinen zu lassen.
Gewinnen in der Plattform-Ökonomie
Mehrstufige Infektionskette ermöglicht Fernzugriff
Wird ein entsprechender Anhang geöffnet, startet auf dem betroffenen Gerät eine mehrstufige Infektionsroutine. Zunächst werden Dateien und Verzeichnisse angelegt sowie weitere Skripte von externen Servern heruntergeladen. Anschließend werden zusätzliche Komponenten nachgeladen und ausgeführt.
Im weiteren Verlauf installieren die Angreifer Software für Fernüberwachung und Fernverwaltung. Dabei greifen sie auf Werkzeuge zurück, die grundsätzlich auch für legitime IT-Administrationsaufgaben eingesetzt werden. Dadurch kann die Schadsoftware unauffälliger agieren und erhält weitreichenden Zugriff auf das betroffene System.
Vertrauen in bekannte Kontakte wird gezielt ausgenutzt
Besonders gefährlich ist laut Kaspersky die Nutzung bereits kompromittierter WhatsApp-Konten. Da die Nachrichten scheinbar von bekannten Personen oder Geschäftspartnern stammen, sinkt die Hemmschwelle vieler Empfänger, Anhänge zu öffnen.
Diese Form des Social Engineerings gehört zu den wirkungsvollsten Methoden moderner Cyberangriffe. Statt technische Sicherheitslücken auszunutzen, setzen die Täter gezielt auf menschliches Vertrauen und alltägliche Kommunikationsmuster.
Vorsicht bei unerwarteten Anhängen
Kaspersky empfiehlt, unerwartete Dateien grundsätzlich kritisch zu prüfen – selbst dann, wenn sie von vertrauten Kontakten versendet werden. Besonders bei Skript- oder ausführbaren Dateien sollten Nutzer die Echtheit des Anhangs über einen zweiten Kommunikationsweg verifizieren.
Darüber hinaus raten die Sicherheitsexperten zum Einsatz aktueller Schutzsoftware, die sowohl bekannte als auch neue Bedrohungen erkennen kann. Angesichts der zunehmenden Professionalisierung solcher Kampagnen bleibt Aufmerksamkeit ein entscheidender Faktor für die Cybersicherheit im Alltag.
