WhatsApp: Kaspersky warnt vor mehrsprachiger Malware-Kampagne

Felix Bauer
Am von Felix Bauer / 0 Kommentare

WhatsApp: Kaspersky warnt vor mehrsprachiger Malware-Kampagne

Für viele Nutzer gilt WhatsApp als vertrauter Kommunikationskanal. Genau dieses Vertrauen machen sich Angreifer derzeit zunutze. Sicherheitsforscher von Kaspersky warnen vor einer groß angelegten Malware-Kampagne, im Rahmen derer schädliche Dateien über WhatsApp verteilt werden. Besonders betroffen sind dabei offenbar Nutzer von WhatsApp Desktop und WhatsApp Web.

Die Masche ist gefährlich, da die Nachrichten nicht unbedingt von unbekannten Nummern stammen. Laut Kaspersky nutzen die Angreifer zuvor kompromittierte WhatsApp-Konten, um die Schadanhänge an die Kontakte der Opfer zu verschicken. Dadurch sieht die Nachricht für Empfänger deutlich vertrauenswürdiger aus.

Schädliche Anhänge wirken wie normale Geschäftsdokumente

Die Angreifer setzen auf Social Engineering. Die verschickten Dateien tragen Namen, die an alltägliche Geschäftsunterlagen erinnern. Dazu gehören beispielsweise Rechnungen, Kontoauszüge, Zahlungsbelege, Mahnungen oder Schuldenaufstellungen.

Auffällig ist, dass die Dateinamen in mehreren Sprachen auftauchen. Kaspersky nennt unter anderem Englisch, Portugiesisch, Französisch, Deutsch und Malaiisch.

Laut Analyse war ein Beispiel für einen deutschen Dateinamen eine vermeintliche Datei rund um ein Formular für Umsatzsteuer-Nullsatz-Verkäufe. Entscheidend ist jedoch nicht der konkrete Name, sondern die Dateiendung. Bei den analysierten Anhängen handelt es sich häufig um VBScript-Dateien mit Endungen wie .vbs oder .vbe.

Warum gerade WhatsApp so effektiv ist

Bei diesem Angriff werden mehrere bekannte Elemente kombiniert: Vertrauen, Zeitdruck und vermeintliche Routine. Wenn eine Datei von einem bekannten Kontakt stammt und wie ein normales Geschäftsdokument aussieht, klicken viele Nutzer schneller darauf.

Nach dem Herunterladen kann die Datei bei WhatsApp Desktop direkt aus dem Client geöffnet werden. Bei WhatsApp Web muss die Datei dagegen typischerweise aus dem Download-Ordner oder über den Browser geöffnet werden. In beiden Fällen ist eine aktive Nutzerhandlung erforderlich. Es handelt sich also nicht um einen klassischen Zero-Click-Angriff.

Trotzdem ist die Gefahr real. Gerade in Unternehmen und bei Selbstständigen wirken Rechnungen, Zahlungslisten oder Kontoauszüge im Alltag sehr plausibel. Genau darauf zielt die Kampagne ab.

Was passiert nach dem Öffnen der Datei?

Nach dem Start der schädlichen VBScript-Datei wird eine mehrstufige Infektionskette auf dem Windows-System in Gang gesetzt. Zunächst legt das Skript ein Arbeitsverzeichnis im öffentlichen Dokumentenordner an und lädt dann weitere Skripte von externer Infrastruktur nach.

Diese Folgekomponenten führen weitere Systemaktionen aus, laden ein Archiv herunter und installieren schließlich eine vorkonfigurierte Fernwartungssoftware. Laut Kaspersky wird dabei legitime Remote-Monitoring-and-Management-Software missbraucht. Solche Programme sind eigentlich für den IT-Support, die Softwareverteilung und die Systemverwaltung gedacht.

In den falschen Händen können sie jedoch genau das ermöglichen, was Angreifer wollen. den Fernzugriff auf ein kompromittiertes System. Besonders kritisch ist, dass legitime Administrationswerkzeuge in Sicherheitsumgebungen nicht immer sofort verdächtig wirken. Dieses Prinzip wird als „Living off trusted tools“ bezeichnet.

Kampagne offenbar international aktiv

Kaspersky hat Opfer in mehreren Ländern beobachtet, darunter Malaysia, Brasilien, Indien, Mexiko, Singapur, Großbritannien, Spanien, Taiwan, Australien, Russland und Vietnam. Die meisten Fälle entfielen laut Analyse auf Malaysia.

So erkennst du gefährliche WhatsApp-Anhänge

Sei besonders vorsichtig, wenn du plötzlich Dateien mit ungewöhnlichen Endungen über WhatsApp erhältst. Dazu zählen vor allem folgende:

  • .vbs
  • .vbe
  • .exe
  • .bat
  • .cmd
  • .js
  • .ps1

Solche Dateien sind keine gewöhnlichen Rechnungen oder Kontoauszüge. Seriöse Dokumente werden in der Regel als PDF oder Office-Datei verschickt oder sind über ein Kundenportal abrufbar. Selbst dann sollten Anhänge nur geöffnet werden, wenn der Kontext eindeutig ist.

Auch wenn ein Kontakt kommentarlos eine Datei schickt oder die Nachricht nicht zu seinem üblichen Schreibstil passt, ist das verdächtig. In diesem Fall sollte man den Absender über einen anderen Kanal kontaktieren, bevor man den Anhang öffnet.

Letzte Aktualisierung: 24. Juni 2026
Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples. Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise und IT-Administrator. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite. Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing. Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Aufgrund einer enormen Zunahme von Spam-Kommentaren muss ich alle Kommentare manuell freischalten. Es kann daher zu Verzögerungen bei der Veröffentlichung von Kommentaren kommen.