Contacts
+359 875 32 80 30
Book a Meet
Close

Контакти

Каварна, България
Рияд, Саудитска Арабия

+359 875 328030

sales@diamatix.com

Contacts

Bulgaria, Kavarna
Saudi Arabia, Riyadh

+359 875 328030

sales@diamatix.com

Call us: +359 875 32 80 30
Scan for Breaches
Сканирай за пробиви
Book a Meet
Book a Meet
28524
април 2, 2026
Pavlina Nikolova
Новини

WhatsApp като вход към системата. Microsoft отчита кампания с VBS malware и UAC bypass

Microsoft съобщава за активна кампания, при която зловредни VBS файлове се разпространяват чрез WhatsApp съобщения и таргетират Windows системи.

Кампанията се наблюдава от февруари 2026 г. и комбинира социално инженерство с използване на вградени системни инструменти.

Как започва атаката

Атаката започва с изпращане на VBS файл през WhatsApp.

Потребителят е подтикнат да го стартира, след което започва многоетапна инфекция.

Целите са:

  • установяване на постоянство
  • ескалация на права
  • осигуряване на отдалечен достъп

Как работи инфекцията

След стартиране, скриптът:

  • създава скрити папки в C:\ProgramData
  • използва преименувани легитимни инструменти
    • curl.exe като netapi.dll
    • bitsadmin.exe като sc.exe

С тях се изтеглят допълнителни компоненти от cloud услуги като:

  • AWS S3
  • Tencent Cloud
  • Backblaze B2

Ескалация и постоянство

След първоначалния достъп, malware-ът:

  • опитва да стартира процеси с повишени права
  • манипулира UAC
  • прави промени в registry

В крайния етап се инсталират MSI пакети.

В някои случаи се използват легитимни инструменти като AnyDesk за постоянен достъп.

Защо това е важно

Тази кампания показва комбинация от техники.

Три извода:

1. Messaging приложенията са част от риска
Не се използва класически phishing канал.

2. Легитимни инструменти се използват като прикритие
Активността изглежда нормална.

3. Атаката се развива на етапи
Началният файл е само вход.

DIAMATIX Perspective

Това не е exploit-базирана атака.

Това е execution-базирана атака.

Зловредният файл е само началото.

Рискът идва от:

  • използване на системни инструменти
  • постепенно повишаване на правата
  • внедряване на легитимен remote access

Голяма част от действията изглеждат нормални.

Това затруднява откриването.

Ефективният подход изисква:

  • наблюдение на поведението на процесите
  • откриване на нетипична употреба на системни инструменти
  • следене на връзки към външни cloud услуги
  • корелация между действия на потребителя и системни промени

Началната стъпка е проста.

Рискът зависи от това колко дълго остава незабелязана.

Източници

Microsoft Defender Security Research. Analysis of WhatsApp-delivered VBS malware campaign

Абонирайте се за най-новите актуализации и анализи

Получавайте актуални новини и експертни анализи за киберсигурност

Please enable JavaScript in your browser to complete this form.

By Pavlina Nikolova

Recent Posts

68800
май 7, 2026
Pavlina Nikolova

Масивна DDoS кампания показва как разпределените атаки заобикалят традиционните rate limits

Новини
Read More
3
май 7, 2026
Pavlina Nikolova

DIAMATIX ще участва в ХХXVI Общо събрание на Националната асоциация на секретарите на общини в Република България

НовиниСъбития
Read More
AI Strategy and Consulting

Provide expert guidance on developing an AI strategy

Recent comments
Няма коментари за показване.
май 2026
П В С Ч П С Н
 123
45678910
11121314151617
18192021222324
25262728293031