WhatsApp poruke korišćene za širenje VBS malwarea sa UAC bypass lancem
Microsoft je upozorio na kampanju koja od kraja februara 2026. koristi WhatsApp poruke za isporuku zlonamernih VBS fajlova na Windows sisteme. Nakon pokretanja, skripte prave višefazni lanac infekcije, koriste preimenovane legitimne Windows alate, preuzimaju dodatne payloadove sa cloud servisa kao što su AWS, Tencent Cloud i Backblaze B2, a zatim postavljaju MSI pakete radi opstanka i udaljenog pristupa. U završnoj fazi napad pokušava da oslabi UAC zaštitu i obezbedi povišene privilegije bez dodatne interakcije korisnika.
Posebna težina ovog slučaja je u tome što napad spaja društveni inženjering, legitimne sistemske alate i pouzdane cloud servise, pa saobraćaj i izvršavanje mogu delovati sasvim obično. Za firme je nezgodno to što ovakva kampanja lako zaobilazi površne kontrole i posle početnog klika može da se pretvori u trajan daljinski pristup računaru.
- Blokirati ili strogo ograničiti pokretanje VBS fajlova na radnim stanicama
- Pratiti sumnjivo preimenovane kopije alata kao što su curl.exe i bitsadmin.exe
- Pregledati izmene u registru povezane sa UAC podešavanjima i persistence mehanizmima
- Ograničiti ili nadzirati instalaciju MSI paketa i neodobrenih remote access alata kao što je AnyDesk
- U obukama korisnika posebno obraditi rizik od fajlova i linkova poslatih kroz WhatsApp i slične kanale