Новая кампания использует WhatsApp и облачные сервисы для скрытой доставки вредоносного ПО

Специалисты Microsoft Defender Experts в конце февраля 2026 года обнаружили новую целевую кампанию, в которой злоумышленники используют мессенджер WhatsApp для распространения вредоносных сценариев на языке Visual Basic Script (VBS). Эта атака демонстрирует растущую изощрённость киберпреступников, которые комбинируют методы социальной инженерии с техниками "жизни за счёт земли" (Living-off-the-Land) и легитимными облачными сервисами для скрытного закрепления в системе и получения удалённого доступа. Инцидент затрагивает как обычных пользователей, так и корпоративные сети, где подобные скрытные методы могут долго оставаться незамеченными.

Описание

Кампания начинается с отправки потенциальным жертвам сообщений в WhatsApp, содержащих вредоносные VBS-файлы. Этот канал доставки эксплуатирует высокий уровень доверия пользователей к личным и привычным платформам для общения. После запуска сценарий создаёт скрытую папку в директории "C:\ProgramData" и размещает в ней переименованные легитимные системные утилиты Windows, такие как "curl.exe" и "bitsadmin.exe". Для маскировки они получают имена, похожие на системные библиотеки или службы, - например, "netapi.dll" и "sc.exe". Этот приём, известный как "маскировка под легитимный процесс", позволяет зловредной активности сливаться с фоновой работой операционной системы, усложняя обнаружение.

Однако, как отмечают аналитики, переименованные файлы сохраняют оригинальные метаданные PE-формата, в частности, поле "OriginalFileName". Это создаёт важный сигнал для систем безопасности: расхождение между фактическим именем файла и встроенным оригинальным именем может быть использовано для детектирования. В отчёте экспертов Microsoft подчёркивается, что такие аномалии метаданных являются ключевым индикатором компрометации для решений класса EDR (Endpoint Detection and Response, системы обнаружения и реагирования на конечных точках). В средах, где глубокий анализ метаданных не проводится, специалистам по безопасности рекомендуется обращать внимание на аномальные флаги командной строки и сетевую телеметрию при охоте на угрозы.

После получения первоначального доступа кампания переходит к следующему этапу: загрузке вторичных вредоносных скриптов. Для этого используются переименованные утилиты "curl" и "bitsadmin" с соответствующими флагами-загрузчиками. Главная особенность - размещение следующих стадий полезной нагрузки на публичных облачных платформах, таких как AWS S3, Tencent Cloud и Backblaze B2. Злоумышленники активно эксплуатируют репутацию этих доверенных сервисов, чтобы их вредоносные сетевые запросы выглядели как легитимный трафик обновлений или синхронизации данных. Такой подход значительно усложняет задачу защитникам, которым становится трудно отличить routine-активность предприятия от скрытой загрузки вредоносного кода.

Третий этап атаки направлен на повышение привилегий и обеспечение устойчивости. Вредоносный код пытается ослабить защитные механизмы Windows, в частности, манипулируя настройками контроля учётных записей (User Account Control). Сценарий непрерывно пытается запустить "cmd.exe" с повышенными правами, модифицируя соответствующие записи в реестре, например, параметр "ConsentPromptBehaviorAdmin" в ветке "HKLM\Software\Microsoft\Windows". Это позволяет подавить запросы UAC и получить административный доступ без ведома пользователя. Внедряются механизмы закрепления, обеспечивающие выживание инфекции после перезагрузки системы. Комбинация манипуляций с реестром и техник обхода UAC создаёт серьёзные трудности для реагирования даже для опытных ИТ-команд.

Финальная стадия кампании - доставка основных вредоносных модулей в виде пакетов установщика Microsoft (MSI). В качестве финальной полезной нагрузки используются файлы "Setup.msi", "WinRAR.msi", "LinkPoint.msi" и "AnyDesk.msi". Критически важно, что все эти установщики не имеют цифровой подписи от доверенного издателя, что является ярким индикатором компрометации, поскольку легитимное корпоративное ПО такого уровня практически всегда подписывается. Установка этих пакетов предоставляет злоумышленникам полноценный удалённый доступ к системе. В частности, установка легального на первый взгляд инструмента удалённого администрирования AnyDesk позволяет атакующим сохранять постоянное соединение с жертвой, проводить exfiltration (несанкционированный вынос) данных, разворачивать дополнительное вредоносное ПО или интегрировать устройство в ботнет.

Данная кампания наглядно иллюстрирует современные тренды в киберпреступности: переход от грубых атак к сложным многостадийным операциям, максимально использующим легитимные инструменты и инфраструктуру. Атака демонстрирует высокий уровень адаптивности угроз, которые становятся всё менее заметными для традиционных сигнатурных методов защиты. Для противодействия подобным угрозам организациям необходимо делать акцент на продвинутых методах обнаружения, таких как анализ аномалий в поведении процессов, мониторинг расхождений в метаданных файлов и тщательный аудит сетевых подключений к внешним облачным сервисам, особенно исходящих от системных процессов.