Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Устали от спама и фишинга?

Вредоносные письма просто не дойдут до ваших пользователей — мы позаботились об этом.
Онлайн-трансляция — 9 апреля в 15:00 — присоединяйтесь.

«Привет, это я — вирус». Как обычное сообщение в WhatsApp превращает компьютер в инструмент хакеров

leer en español

Microsoft Defender WhatsApp VBS AWS Tencent Cloud вредоносные скрипты кибератака
«Привет, это я — вирус». Как обычное сообщение в WhatsApp превращает компьютер в инструмент хакеров
Microsoft Defender WhatsApp VBS AWS Tencent Cloud вредоносные скрипты кибератака

Скрытые процессы меняют правила игры без вашего ведома.

image

В конце февраля 2026 года злоумышленники запустили новую кампанию с необычной тактикой — вредоносные файлы для Windows начали распространять через привычные сообщения в WhatsApp*. Расчёт оказался простым: доверие к знакомому мессенджеру снижает бдительность, а дальше цепочка заражения развивается почти незаметно для пользователя.

Команда Microsoft Defender Security Research зафиксировала атаку, в которой используются скрипты Visual Basic. После запуска такой файл создаёт скрытые каталоги в системе и подменяет стандартные утилиты Windows. Например, «curl.exe» получает имя «netapi.dll», а bitsadmin.exe маскируется под sc.exe. При этом внутренние метаданные остаются прежними, что даёт шанс обнаружить подмену, но только при внимательном контроле.

Дальше вредоносная активность уходит в облако. Скрипты загружают дополнительные компоненты с популярных сервисов вроде Amazon Web Services, Tencent Cloud и Backblaze. Такой подход помогает спрятать вредоносный трафик среди легитимных запросов и усложняет анализ сетевой активности.

После закрепления в системе вредоносное ПО пытается повысить привилегии. Для этого меняются параметры контроля учётных записей Windows, а командная строка запускается с правами администратора вплоть до успешного результата. Параллельно вносятся изменения в реестр, чтобы сохранить доступ даже после перезагрузки устройства.

Финальный этап атаки тщательно замаскирован. На заражённую систему устанавливаются MSI-пакеты без цифровой подписи — среди них файлы с названиями «Setup.msi», «WinRAR.msi» или «AnyDesk.msi». Под видом обычного софта злоумышленники получают удалённый доступ, могут выгружать данные или развивать атаку внутри сети.

Аналитики отмечают, что комбинация социальной инженерии, встроенных инструментов Windows и облачной инфраструктуры делает такую кампанию особенно опасной. Защитные решения способны выявить аномалии, но многое зависит от настроек мониторинга и внимательности пользователей к вложениям даже в знакомых приложениях.

Microsoft рекомендует ограничить запуск скриптов из недоверенных источников, отслеживать подозрительные изменения в системе и контролировать сетевые обращения к облачным сервисам. Отдельно компания акцентирует внимание на обучении сотрудников — атака начинается с обычного сообщения, и именно в этот момент пользователи наиболее уязвимы.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.