Корпорация Microsoft выпустила критическое предупреждение о новой сложной кампании по распространению вредоносного ПО, использующей платформу обмена сообщениями WhatsApp в качестве основного механизма доставки. Кампания, впервые обнаруженная в конце февраля 2026 года, включает распространение вредоносных файлов Visual Basic Script (VBS), предназначенных для выполнения многоэтапной цепочки заражения. Конечные цели — установление постоянного контроля над скомпрометированными системами Windows и обеспечение неограниченного удаленного доступа для злоумышленников. Особую обеспокоенность вызывает использование в этой атаке техники обхода контроля учетных записей пользователей (UAC), которая позволяет вредоносной программе выполняться с повышенными привилегиями без вызова стандартных запросов безопасности, что значительно повышает ее скрытность и разрушительный потенциал.
Процесс заражения начинается, когда цель получает, казалось бы, законное сообщение WhatsApp, содержащее вложение в виде файла VBS. Хотя конкретные методы социальной инженерии, используемые для соблазнения пользователей открыть файл, остаются неясными, типичные тактики в таких кампаниях включают выдачу себя за доверенных контактов, отправку поддельных счетов или маскировку под критические обновления безопасности. Как только пользователь выполняет скрипт VBS, запускается сложная последовательность событий. Скрипт разработан для обхода защитных механизмов UAC Windows — критически важной функции безопасности, предназначенной для предотвращения несанкционированных изменений. Этот обход является краеугольным камнем атаки, предоставляя вредоносной программе права администратора для отключения программного обеспечения безопасности, манипулирования настройками системы и глубокого внедрения в операционную систему.
После первоначального выполнения и повышения привилегий скрипт VBS приступает к загрузке и развертыванию дополнительных полезных нагрузок с серверов, контролируемых злоумышленниками. Такой многоэтапный подход позволяет угрозам сохранять гибкость, потенциально доставляя ряд вредоносных инструментов, таких как трояны удаленного доступа (RAT), сборщики информации или модули программ-вымогателей. Установление устойчивости является ключевой задачей и достигается с помощью таких механизмов, как создание запланированных задач, изменение ключей автозапуска в реестре или установка вредоносных служб. Это гарантирует, что вредоносное ПО переживет перезагрузки системы и останется активным, обеспечивая постоянный бэкдор для эксфильтрации данных, наблюдения или дальнейшего проникновения в сеть.
Появление этой кампании подчеркивает несколько развивающихся угроз в ландшафте кибербезопасности. Во-первых, она демонстрирует продолжающуюся эксплуатацию законных, повсеместно распространенных платформ общения, таких как WhatsApp, которым пользователи изначально доверяют, что делает их высокоэффективными векторами атак. Во-вторых, использование скриптов VBS показывает, что более старые, казалось бы, менее сложные технологии по-прежнему могут быть эффективными в сочетании с современными методами уклонения, такими как обход UAC. Для защитников этот инцидент подтверждает необходимость многоуровневых стратегий безопасности, включающих белые списки приложений, поведенческое обнаружение для выявления попыток повышения привилегий и всестороннее обучение пользователей для распознавания тактик социальной инженерии, независимо от используемого канала связи.
