WhatsApp-Phishing mit gefälschten Geschäftsdokumenten: So funktioniert die neue Malware-Kampagne

Eine neue Phishing-Kampagne zielt gezielt auf WhatsApp-Nutzer in über einem Dutzend Ländern ab. Die Angreifer versenden Nachrichten von scheinbar vertrauenswürdigen Kontakten, die zuvor kompromittiert wurden. Im Anhang verstecken sich getarnte VBScript-Dateien, die bei Ausführung eine Kette von Schadsoftware auslösen. Ziel ist die Installation des legitimen Tools ManageEngine Endpoint Central, das anschließend für den Fernzugriff auf infizierte Systeme missbraucht wird. Die Kampagne zeigt, wie Cyberkriminelle legitime Software für ihre Zwecke instrumentalisieren und dabei globale Reichweite erzielen.

Gefälschte Geschäftsdokumente als Einfallstor

Die Angreifer versenden Nachrichten über kompromittierte WhatsApp-Kontakte, die in mehreren Sprachen lokalisiert sind. Die Betreffzeilen und Dateinamen der Anhänge deuten auf geschäftliche Dokumente hin, etwa Rechnungen, Kontoauszüge oder Finanzberichte. Diese Taktik nutzt das Vertrauen der Empfänger in bekannte Kontakte aus und erhöht die Wahrscheinlichkeit, dass die Dateien geöffnet werden. Die lokalisierten Dateinamen belegen, dass die Kampagne international ausgerichtet ist und gezielt Nutzer in Brasilien, Indien, Mexiko, Singapur, Großbritannien, Spanien, Taiwan, Australien, Russland, Vietnam und Malaysia anvisiert.

Sobald ein Nutzer die VBScript-Datei herunterlädt und ausführt, beginnt die Infektionskette. Das Skript lädt weitere schädliche Skripte aus dem Internet nach, die zunächst die Benutzerkontensteuerung (UAC) über Registrierungsänderungen deaktivieren. Anschließend wird ein ZIP-Archiv heruntergeladen, das die ManageEngine Endpoint Central-Software enthält. Dieses Tool wird normalerweise von IT-Administratoren zur zentralen Verwaltung von Unternehmenssystemen eingesetzt, eignet sich aber auch hervorragend für Angreifer, um Fernzugriff auf infizierte Computer zu erlangen.

Missbrauch legitimer Software für Cyberangriffe

ManageEngine Endpoint Central ist eine weit verbreitete Verwaltungssoftware, die in vielen Unternehmen im Einsatz ist. Die Angreifer nutzen die legitime Installationsroutine des Programms, um es ohne Wissen des Nutzers im Hintergrund zu installieren. Anschließend wird die Software so konfiguriert, dass sie eine Verbindung zu Servern herstellt, die von den Angreifern kontrolliert werden. Auf diese Weise erhalten die Cyberkriminellen Fernzugriff auf das infizierte System und können weitere Malware nachladen, Daten exfiltrieren oder das System für weitere Angriffe nutzen.

Die Verwendung von ManageEngine Endpoint Central als Vehikel für den Fernzugriff ist besonders tückisch, da die Software in vielen Sicherheitslösungen als vertrauenswürdig eingestuft wird. Herkömmliche Antivirenprogramme könnten die Installation daher nicht als Bedrohung erkennen. Die Angreifer kombinieren damit die Legitimität der Software mit den Schwächen des menschlichen Faktors – dem Vertrauen in bekannte Kontakte und die Neigung, geschäftliche Dokumente zu öffnen.

Technische Details der Infektionskette

Die Infektionskette beginnt mit dem Empfang einer WhatsApp-Nachricht, die einen VBScript-Anhang enthält. Wird dieser über WhatsApp Web heruntergeladen, muss die Datei zunächst gespeichert und dann ausgeführt werden. Öffnet der Nutzer die Nachricht jedoch im WhatsApp Desktop-Client, kann das VBScript direkt über den Windows Script Host (wscript.exe) ausgeführt werden. Dies vereinfacht den Infektionsprozess und erhöht die Erfolgschancen für die Angreifer.

Das initiale VBScript lädt weitere Skripte aus dem Internet nach, die zunächst die UAC-Schutzmechanismen deaktivieren. Diese Maßnahme ist entscheidend, um die Installation der ManageEngine-Software ohne Benutzerinteraktion zu ermöglichen. Anschließend wird ein ZIP-Archiv heruntergeladen, das die Installationsdateien für ManageEngine Endpoint Central enthält. Die Software wird im Hintergrund installiert und so konfiguriert, dass sie eine Verbindung zu einem Command-and-Control-Server der Angreifer herstellt.

Globale Verbreitung und bisher unbekannte Infektionsmethode

Laut Telemetriedaten einer Cybersecurity-Firma breitet sich die Kampagne in über einem Dutzend Ländern aus. Die Angreifer nutzen dabei kompromittierte WhatsApp-Kontakte, um ihre Schadsoftware zu verbreiten. Wie genau die Konten kompromittiert wurden, ist bisher unklar. Mögliche Methoden könnten Phishing-Angriffe auf die WhatsApp-Konten selbst, die Ausnutzung von Schwachstellen in der App oder der Diebstahl von Anmeldedaten sein.

Die globale Reichweite der Kampagne unterstreicht die Professionalität der Angreifer. Durch die Lokalisierung der Dateinamen und Nachrichten in mehreren Sprachen können sie gezielt Nutzer in verschiedenen Regionen ansprechen. Die Verwendung von WhatsApp als Verbreitungsplattform ist dabei besonders effektiv, da die Messaging-App weltweit Milliarden von Nutzern hat und viele Menschen ihr vertrauen.

Schutzmaßnahmen für Nutzer und Unternehmen

Für Nutzer ist es ratsam, verdächtige Nachrichten und Anhänge in Messengern wie WhatsApp kritisch zu prüfen – selbst wenn sie von bekannten Kontakten stammen. Dateien mit ungewöhnlichen Endungen wie .vbs sollten niemals ohne vorherige Bestätigung geöffnet werden. Unternehmen sollten ihre Mitarbeiter regelmäßig in IT-Sicherheit schulen und auf die Gefahren von Phishing-Angriffen hinweisen. Zudem ist es wichtig, Sicherheitssoftware auf dem neuesten Stand zu halten und regelmäßige Backups zu erstellen.

Für IT-Administratoren ist es entscheidend, ungewöhnliche Aktivitäten in ManageEngine Endpoint Central zu überwachen. Da die Software normalerweise für die Verwaltung von Systemen genutzt wird, könnten unerwartete Verbindungen zu externen Servern oder ungewöhnliche Installationen ein Hinweis auf einen Kompromittierungsversuch sein. Sicherheitslösungen sollten so konfiguriert werden, dass sie verdächtige Aktivitäten in legitimer Software erkennen und blockieren können.

Ausblick: Zunehmende Professionalisierung von Cyberangriffen

Die Kampagne zeigt, wie Cyberkriminelle zunehmend legitime Software und etablierte Kommunikationskanäle für ihre Angriffe nutzen. Durch die Kombination von Social Engineering, obfuskiertem Code und dem Missbrauch vertrauenswürdiger Tools wird die Erkennung und Abwehr solcher Angriffe deutlich erschwert. Die Professionalisierung der Angriffe unterstreicht die Notwendigkeit für Nutzer und Unternehmen, ihre Sicherheitsmaßnahmen kontinuierlich zu aktualisieren.

In Zukunft könnten ähnliche Kampagnen noch raffinierter werden, etwa durch die Nutzung weiterer legitimer Verwaltungssoftware oder die Ausnutzung neuer Schwachstellen in Messengern. Es ist daher wichtig, dass Sicherheitsforscher und Unternehmen eng zusammenarbeiten, um solche Bedrohungen frühzeitig zu erkennen und Gegenmaßnahmen zu entwickeln. Nutzer sollten zudem stets wachsam bleiben und verdächtige Aktivitäten umgehend melden.

Fazit: Wachsamkeit und proaktive Sicherheit sind entscheidend

Die aktuelle Phishing-Kampagne auf WhatsApp demonstriert, wie Cyberkriminelle legitime Tools und soziale Manipulation kombinieren, um Systeme zu kompromittieren. Die Infektionskette nutzt das Vertrauen in bekannte Kontakte und die Neigung, geschäftliche Dokumente zu öffnen, um eine gefährliche Malware zu verbreiten. Durch die Deaktivierung von Schutzmechanismen und die Installation von ManageEngine Endpoint Central erhalten die Angreifer Fernzugriff auf infizierte Systeme.

Für Nutzer und Unternehmen bedeutet dies, dass klassische Phishing-Warnungen nicht mehr ausreichen. Es ist notwendig, Sicherheitsbewusstsein zu schärfen, verdächtige Aktivitäten zu erkennen und proaktiv Schutzmaßnahmen zu ergreifen. Nur so lässt sich das Risiko minimieren, Opfer solcher gezielten Angriffe zu werden. Die Kampagne ist ein weiterer Beweis dafür, dass Cyberkriminalität weiterhin professionalisiert wird und neue Methoden entwickelt, um bestehende Sicherheitsmaßnahmen zu umgehen.