Cyberprzestępcy po raz kolejny wykorzystują zaufanie użytkowników do popularnych komunikatorów. Najnowsze ostrzeżenie Microsoftu ujawnia zaawansowaną kampanię, w której złośliwe oprogramowanie jest rozsyłane za pośrednictwem WhatsAppa, a następnie przejmuje pełną kontrolę nad komputerami z systemem Windows. Mechanizm ataku łączy socjotechnikę, legalne narzędzia systemowe i infrastrukturę chmurową, co czyni go wyjątkowo trudnym do wykrycia.
Nowa era cyberataków
Jeszcze kilka lat temu głównym kanałem dystrybucji malware były e-maile phishingowe. Dziś obserwujemy wyraźną zmianę – atakujący coraz częściej wykorzystują komunikatory, takie jak WhatsApp, które są postrzegane jako bardziej prywatne i bezpieczniejsze. Microsoft wskazuje, iż kampania rozpoczęta pod koniec lutego 2026 roku stanowi przykład nowej generacji zagrożeń, gdzie kluczową rolę odgrywa manipulacja użytkownikiem oraz wykorzystanie zaufanych usług chmurowych.
Mechanizm ataku – jak działa kampania krok po kroku
Atak rozpoczyna się od otrzymania na WhatsAppie wiadomości zawierającej załącznik w postaci pliku .vbs (Visual Basic Script). Sam plik może wyglądać niepozornie – tu skuteczność opiera się głównie na socjotechnice, czyli przekonaniu ofiary do jego uruchomienia.
Po uruchomieniu skrypt inicjuje wieloetapowy łańcuch infekcji:
1. Uzyskanie dostępu (Initial Access)
- Plik VBS tworzy ukryte katalogi w systemie (np.C:\ProgramData)
- Kopiuje legalne narzędzia Windows, zmieniając ich nazwy, aby wyglądały niewinnie
(np.curl.exe→ netapi.dll, bitsadmin.exe→ sc.exe)
2. Wykorzystanie techniki „Living-Off-the-Land” (LOtL)
Atakujący nie wprowadzają klasycznego malware – zamiast tego używają legalnych narzędzi systemowych. Minimalizuje to wykrywalność przez antywirusy, a ruch sieciowy wygląda jak normalna aktywność systemu.
3. Pobieranie kolejnych komponentów
Złośliwe pliki są pobierane z renomowanych usług chmurowych: AWS S3, Tencent Cloud, Backblaze B2. Dzięki temu ruch sieciowy nie wzbudza podejrzeń systemów bezpieczeństwa.
4. Utrzymanie dostępu (Persistence)
W tym przypadku utrzymanie dostępu polega na instalacji złośliwych pakietów MSI, modyfikacjach rejestru systemu, a także wykorzystaniu mechanizmów przetrwania restartu systemu.
5. Eskalacja uprawnień i obejście zabezpieczeń
Złośliwe oprogramowanie manipuluje mechanizmem UAC (User Account Control) poprzez wielokrotne próby uruchomienia procesów z uprawnieniami administratora oraz zmiany w rejestrze osłabiające ochronę systemu.
Szczegóły techniczne – co wyróżnia tę kampanię
Kampania wyróżnia się wysokim poziomem zaawansowania technicznego:
1. Maskowanie plików
Zmodyfikowane pliki zachowują oryginalne metadane PE (Portable Executable), np. pole OriginalFileName. Oznacza to, iż nazwa pliku jest inna niż rzeczywista, dzięki czemu możliwe jest wykrycie ataku poprzez analizę niespójności metadanych.
2. Wykorzystanie zaufanej infrastruktury
Zamiast własnych serwerów C2 używane są legalne platformy chmurowe, co utrudnia blokowanie ruchu sieciowego.
3. Wieloetapowy łańcuch infekcji
- pierwszy skrypt → downloader
- kolejne payloady → instalatory MSI
- końcowy efekt → zdalny dostęp do systemu
4. Modularność ataku
Atakujący mogą dynamicznie zmieniać payloady, a także aktualizować komponenty bez wiedzy użytkownika.
Cel ataku – pełna kontrola nad systemem
Po zakończeniu infekcji napastnik uzyskuje:
- trwały dostęp zdalny (np. poprzez narzędzia typu AnyDesk),
- możliwość kradzieży danych
- oraz możliwość instalacji dodatkowego malware (np. ransomware).
Co istotne, atak nie wymaga zaawansowanych exploitów – wystarczy, iż użytkownik uruchomi plik.
Dlaczego ten atak jest szczególnie niebezpieczny?
- Wykorzystuje zaufany kanał komunikacji (WhatsApp).
- Nie bazuje na klasycznym malware – używa legalnych narzędzi.
- Ukrywa się w normalnym ruchu sieciowym.
- Jest trudny do wykrycia przez standardowe zabezpieczenia.
Eksperci podkreślają, iż połączenie socjotechniki, technik LOtL i infrastruktury chmurowej znacząco zwiększa skuteczność ataku.
Jak się chronić?
Dla użytkowników:
- nie otwieraj załączników (.vbs, .js, .exe) z komunikatorów,
- weryfikuj nadawcę – choćby jeżeli to znajomy,
- korzystaj z aktualnego systemu antywirusowego.
Dla firm:
- monitoruj anomalie w użyciu narzędzi systemowych (np. curl, bitsadmin),
- analizuj metadane plików PE,
- kontroluj ruch do usług chmurowych,
- należy wdrożyć EDR/XDR.
Podsumowanie
Kampania opisana przez Microsoft pokazuje wyraźny kierunek ewolucji cyberzagrożeń – od prostych wirusów do złożonych, wieloetapowych operacji wykorzystujących legalne narzędzia i zaufane platformy. WhatsApp staje się kolejnym kanałem dystrybucji malware, a granica między bezpieczną komunikacją a wektorem ataku coraz mocniej się zaciera. Dla użytkowników oznacza to jedno: choćby najbardziej niewinna wiadomość może być początkiem poważnego incydentu bezpieczeństwa.
