Комплекс безопасности для вашего бизнеса

+79696000089

Заказать звонок

Задать вопрос

sale@safekit.tech

г. Нижний Новгород, сп Новинки, ул. 2-ая Дорожная, д. 13, кв. 19

Кампания вредоносного ПО в WhatsApp: доставка вредоносных файлов VBS и бэкдоров MSI - SafeKit - СейфКит

Контактная информация

г. Нижний Новгород, сп Новинки, ул. 2-ая Дорожная, д. 13, кв. 19

sale@safekit.tech

Кампания вредоносного ПО в WhatsApp: доставка вредоносных файлов VBS и бэкдоров MSI

31 марта 2026 0:00

Недавно была обнаружена кампания вредоносного ПО, использующая WhatsApp для доставки вредоносных файлов VBS, что приводит к установке бэкдоров MSI. Эта кампания использует комбинацию socialeskoy инженерии и техник "живущих на земле", чтобы обойти системы безопасности. Основными целями этой кампании являются пользователи WhatsApp, которые могут стать жертвами фишинга через эту платформу.

Кампания вредоносного ПО, использующая WhatsApp для доставки вредоносных файлов VBS, представляет серьезную угрозу для пользователей этой популярной платформы обмена сообщениями. Эта кампания использует комбинацию социальной инженерии и техник "живущих на земле", чтобы обойти системы безопасности и установить бэкдоры на зараженных системах.

Подробности

Кампания начинается с доставки вредоносных файлов VBS через WhatsApp-сообщения, что эксплуатирует доверие пользователей к этой платформе. Как только эти скрипты выполняются, они создают скрытые папки в C:\ProgramData и сбрасывают переименованные версии легитимных утилит Windows, таких как curl.exe и bitsadmin.exe. Эти переименованные утилиты сохраняют свои оригинальные метаданные PE, включая поле OriginalFileName, что позволяет системам безопасности обнаруживать расхождения в именах файлов. Эта кампания также использует облачные платформы, такие как AWS S3, Tencent Cloud и Backblaze B2, для хранения и доставки вредоносных полезных нагрузок. После получения первоначального доступа вредоносное ПО загружает дополнительные полезные нагрузки, такие как auxs.vbs и WinUpdate_KB5034231.vbs, которые также хранятся на этих облачных платформах.

Что делать

Чтобы защититься от этой кампании вредоносного ПО, пользователям следует быть осторожными при получении WhatsApp-сообщений с вложениями или ссылками. Также рекомендуется использовать системы безопасности, которые могут обнаруживать расхождения в именах файлов и метаданных PE. Кроме того, пользователям следует регулярно обновлять свои операционные системы и программное обеспечение, чтобы исправлять уязвимости, которые могут быть использованы вредоносным ПО. Итог: Пользователям WhatsApp следует быть бдительными при получении подозрительных сообщений и использовать системы безопасности, чтобы обнаруживать и предотвращать вредоносную активность. Регулярные обновления операционных систем и программного обеспечения также помогут предотвратить эксплуатацию уязвимостей.

Источник: Microsoft Security Blog

Назад к списку