Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Microsoft предупредува за VBS малвер кој се испорачува преку WhatsApp кој презема контрола врз Windows преку UAC заобиколување

Објавено: 02.04.2026

Microsoft предупредува за нова кампања во која преку WhatsApp пораки се дистрибуираат злонамерни Visual Basic Script (VBS) датотеки.

Активноста, која започнала кон крајот на февруари 2026 година, ги користи овие скрипти за да иницира повеќефазен синџир на инфекција со цел да воспостави трајност и да овозможи далечински пристап. Засега не е познато какви мамки користат напаѓачите за да ги натераат корисниците да ги извршат скриптите.

„Кампањата се потпира на комбинација од социјален инженеринг и техники ‘living-off-the-land’“, соопшти Microsoft Defender Security Research Team. „Се користат преименувани Windows алатки за да се вклопат во нормалната активност на системот, се преземаат payload-и од доверливи cloud сервиси како AWS, Tencent Cloud и Backblaze B2, и се инсталираат злонамерни Microsoft Installer (MSI) пакети за одржување контрола врз системот.“

Употребата на легитимни алатки и доверливи платформи претставува опасна комбинација, бидејќи им овозможува на напаѓачите да се вклопат во нормалниот мрежен сообраќај и да ја зголемат успешноста на нападите.

Активноста започнува така што напаѓачите испраќаат злонамерни VBS датотеки преку WhatsApp пораки. Кога ќе се извршат, тие креираат скриени папки во „C:\ProgramData“ и поставуваат преименувани верзии на легитимни Windows алатки како „curl.exe“ (преименуван во „netapi.dll“) и „bitsadmin.exe“ (преименуван во „sc.exe“).

Откако ќе воспостават почетен пристап, напаѓачите имаат за цел да обезбедат трајност и да ги зголемат привилегиите, со што на крај инсталираат злонамерни MSI пакети на системите на жртвите. Ова се постигнува со преземање дополнителни VBS датотеки хостирани на AWS S3, Tencent Cloud и Backblaze B2, користејќи ги преименуваните бинарни алатки.

„Откако секундарните payload-и ќе бидат поставени, малверот започнува да ги менува поставките на User Account Control (UAC) со цел да ги ослаби системските одбрани“, соопшти Microsoft. „Континуирано се обидува да стартува cmd.exe со зголемени привилегии, повторувајќи го процесот сè додека не успее UAC ескалацијата или додека процесот не биде присилно прекинат. Притоа, ги модифицира registry записите под HKLM\Software\Microsoft\Win и вградува механизми за трајност за да обезбеди инфекцијата да преживее рестартирање на системот.“

Овие активности им овозможуваат на напаѓачите да добијат повисоки привилегии без интеракција од страна на корисникот, преку комбинација на манипулација со Registry и техники за заобиколување на UAC, а потоа да имплементираат непотпишани MSI инсталери. Ова вклучува и легитимни алатки како AnyDesk, кои им овозможуваат на напаѓачите постојан далечински пристап, со што можат да ексфилтрираат податоци или да инсталираат дополнителен малвер.

„Оваа кампања демонстрира софистициран синџир на инфекција кој комбинира социјален инженеринг (испорака преку WhatsApp), техники за прикривање (преименувани легитимни алатки, скриени атрибути) и хостирање на payload-и преку cloud платформи“, додаде Microsoft.

Извори:

  • The Hacker News – Microsoft Warns of WhatsApp-Delivered VBS Malware Hijacking Windows via UAC Bypass The Hacker News