{"id":24,"date":"2026-06-24T10:50:57","date_gmt":"2026-06-24T08:50:57","guid":{"rendered":"https:\/\/www.bleib-virenfrei.de\/magazin\/?p=24"},"modified":"2026-06-24T10:52:38","modified_gmt":"2026-06-24T08:52:38","slug":"whatsapp-kaspersky-warnt-vor-mehrsprachiger-malware-kampagne","status":"publish","type":"post","link":"https:\/\/www.bleib-virenfrei.de\/magazin\/whatsapp-kaspersky-warnt-vor-mehrsprachiger-malware-kampagne\/","title":{"rendered":"WhatsApp: Kaspersky warnt vor mehrsprachiger Malware-Kampagne"},"content":{"rendered":"\n

F\u00fcr viele Nutzer gilt WhatsApp als vertrauter Kommunikationskanal. Genau dieses Vertrauen machen sich Angreifer derzeit zunutze. Sicherheitsforscher von Kaspersky<\/a> warnen vor einer gro\u00df angelegten Malware-Kampagne, im Rahmen derer sch\u00e4dliche Dateien \u00fcber WhatsApp verteilt werden. Besonders betroffen sind dabei offenbar Nutzer von WhatsApp Desktop und WhatsApp Web.<\/p>\n\n\n\n

Die Masche ist gef\u00e4hrlich, da die Nachrichten nicht unbedingt von unbekannten Nummern stammen. Laut Kaspersky nutzen die Angreifer zuvor kompromittierte WhatsApp-Konten, um die Schadanh\u00e4nge an die Kontakte der Opfer zu verschicken. Dadurch sieht die Nachricht f\u00fcr Empf\u00e4nger deutlich vertrauensw\u00fcrdiger aus.<\/p>\n\n\n\n\n\n\n\n

Sch\u00e4dliche Anh\u00e4nge wirken wie normale Gesch\u00e4ftsdokumente<\/h2>\n\n\n\n

Die Angreifer setzen auf Social Engineering. Die verschickten Dateien tragen Namen, die an allt\u00e4gliche Gesch\u00e4ftsunterlagen erinnern. Dazu geh\u00f6ren beispielsweise Rechnungen, Kontoausz\u00fcge, Zahlungsbelege, Mahnungen oder Schuldenaufstellungen.<\/p>\n\n\n\n

Auff\u00e4llig ist, dass die Dateinamen in mehreren Sprachen auftauchen. Kaspersky nennt unter anderem Englisch, Portugiesisch, Franz\u00f6sisch, Deutsch und Malaiisch. <\/p>\n\n\n\n

Laut Analyse war ein Beispiel f\u00fcr einen deutschen Dateinamen eine vermeintliche Datei rund um ein Formular f\u00fcr Umsatzsteuer-Nullsatz-Verk\u00e4ufe. Entscheidend ist jedoch nicht der konkrete Name, sondern die Dateiendung. Bei den analysierten Anh\u00e4ngen handelt es sich h\u00e4ufig um VBScript-Dateien mit Endungen wie .vbs oder .vbe.<\/p>\n\n\n\n

Warum gerade WhatsApp so effektiv ist<\/h2>\n\n\n\n

Bei diesem Angriff werden mehrere bekannte Elemente kombiniert: Vertrauen, Zeitdruck und vermeintliche Routine. Wenn eine Datei von einem bekannten Kontakt stammt und wie ein normales Gesch\u00e4ftsdokument aussieht, klicken viele Nutzer schneller darauf.<\/p>\n\n\n\n

Nach dem Herunterladen kann die Datei bei WhatsApp Desktop direkt aus dem Client ge\u00f6ffnet werden. Bei WhatsApp Web muss die Datei dagegen typischerweise aus dem Download-Ordner oder \u00fcber den Browser ge\u00f6ffnet werden. In beiden F\u00e4llen ist eine aktive Nutzerhandlung erforderlich. Es handelt sich also nicht um einen klassischen Zero-Click-Angriff.<\/p>\n\n\n\n

Trotzdem ist die Gefahr real. Gerade in Unternehmen und bei Selbstst\u00e4ndigen wirken Rechnungen, Zahlungslisten oder Kontoausz\u00fcge im Alltag sehr plausibel. Genau darauf zielt die Kampagne ab.<\/p>\n\n\n\n

Was passiert nach dem \u00d6ffnen der Datei?<\/h2>\n\n\n\n

Nach dem Start der sch\u00e4dlichen VBScript-Datei wird eine mehrstufige Infektionskette auf dem Windows-System in Gang gesetzt. Zun\u00e4chst legt das Skript ein Arbeitsverzeichnis im \u00f6ffentlichen Dokumentenordner an und l\u00e4dt dann weitere Skripte von externer Infrastruktur nach.<\/p>\n\n\n\n

Diese Folgekomponenten f\u00fchren weitere Systemaktionen aus, laden ein Archiv herunter und installieren schlie\u00dflich eine vorkonfigurierte Fernwartungssoftware. Laut Kaspersky wird dabei legitime Remote-Monitoring-and-Management-Software missbraucht. Solche Programme sind eigentlich f\u00fcr den IT-Support, die Softwareverteilung und die Systemverwaltung gedacht.<\/p>\n\n\n\n

In den falschen H\u00e4nden k\u00f6nnen sie jedoch genau das erm\u00f6glichen, was Angreifer wollen. den Fernzugriff auf ein kompromittiertes System. Besonders kritisch ist, dass legitime Administrationswerkzeuge in Sicherheitsumgebungen nicht immer sofort verd\u00e4chtig wirken. Dieses Prinzip wird als \u201eLiving off trusted tools\u201c bezeichnet.<\/p>\n\n\n\n

Kampagne offenbar international aktiv<\/h2>\n\n\n\n

Kaspersky hat Opfer in mehreren L\u00e4ndern beobachtet, darunter Malaysia, Brasilien, Indien, Mexiko, Singapur, Gro\u00dfbritannien, Spanien, Taiwan, Australien, Russland und Vietnam. Die meisten F\u00e4lle entfielen laut Analyse auf Malaysia.<\/p>\n\n\n\n

So erkennst du gef\u00e4hrliche WhatsApp-Anh\u00e4nge<\/h2>\n\n\n\n

Sei besonders vorsichtig, wenn du pl\u00f6tzlich Dateien mit ungew\u00f6hnlichen Endungen \u00fcber WhatsApp erh\u00e4ltst. Dazu z\u00e4hlen vor allem folgende:<\/p>\n\n\n\n

    \n
  • .vbs<\/code><\/li>\n\n\n\n
  • .vbe<\/code><\/li>\n\n\n\n
  • .exe<\/code><\/li>\n\n\n\n
  • .bat<\/code><\/li>\n\n\n\n
  • .cmd<\/code><\/li>\n\n\n\n
  • .js<\/code><\/li>\n\n\n\n
  • .ps1<\/code><\/li>\n<\/ul>\n\n\n\n

    Solche Dateien sind keine gew\u00f6hnlichen Rechnungen oder Kontoausz\u00fcge. Seri\u00f6se Dokumente werden in der Regel als PDF oder Office-Datei verschickt oder sind \u00fcber ein Kundenportal abrufbar. Selbst dann sollten Anh\u00e4nge nur ge\u00f6ffnet werden, wenn der Kontext eindeutig ist.<\/p>\n\n\n\n

    Auch wenn ein Kontakt kommentarlos eine Datei schickt oder die Nachricht nicht zu seinem \u00fcblichen Schreibstil passt, ist das verd\u00e4chtig. In diesem Fall sollte man den Absender \u00fcber einen anderen Kanal kontaktieren, bevor man den Anhang \u00f6ffnet.<\/p>\n","protected":false},"excerpt":{"rendered":"

    F\u00fcr viele Nutzer gilt WhatsApp als vertrauter Kommunikationskanal. Genau dieses Vertrauen machen sich Angreifer derzeit zunutze. Sicherheitsforscher von Kaspersky warnen vor einer gro\u00df angelegten Malware-Kampagne, im Rahmen derer sch\u00e4dliche Dateien \u00fcber WhatsApp verteilt werden. Besonders betroffen sind dabei offenbar Nutzer von WhatsApp Desktop und WhatsApp Web. Die Masche ist gef\u00e4hrlich, da die Nachrichten nicht unbedingt...<\/p>\n","protected":false},"author":1,"featured_media":26,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[],"class_list":["post-24","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aktuelles"],"_links":{"self":[{"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/posts\/24","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/comments?post=24"}],"version-history":[{"count":1,"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/posts\/24\/revisions"}],"predecessor-version":[{"id":25,"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/posts\/24\/revisions\/25"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/media\/26"}],"wp:attachment":[{"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/media?parent=24"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/categories?post=24"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bleib-virenfrei.de\/magazin\/wp-json\/wp\/v2\/tags?post=24"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}