С конца февраля 2026 года команда Microsoft Defender Security Research Team отслеживает новую атаку, в которой злоумышленники рассылают через WhatsApp вредоносные файлы Visual Basic Script. Цепочка заражения построена хитро: пользователю приходит сообщение в мессенджере с VBS-файлом, и если тот его запускает — начинается многоступенчатый процесс компрометации Windows-системы. Что именно пишут в этих сообщениях, чтобы убедить людей открыть файл, Microsoft пока не раскрывает.
После запуска VBS-файла первым делом создаётся скрытая папка внутри каталога
Дальше переименованные утилиты подтягивают дополнительные VBS-файлы с облачных платформ. Атакующие размещают полезную нагрузку на AWS S3, Tencent Cloud и Backblaze B2. Расчёт простой: корпоративные и пользовательские фаерволы, как правило, не блокируют трафик к крупным облачным провайдерам. Запросы к Amazon или Tencent не вызывают тревоги у сетевых фильтров, и вредоносный код спокойно загружается на машину жертвы.
Самый опасный этап — обход механизма контроля учётных записей (UAC). Малварь модифицирует настройки UAC, ослабляя защиту системы, а потом в цикле пытается запустить
Получив привилегии, атакующие закрепляются в системе. Устанавливаются механизмы автозапуска, которые переживают перезагрузку компьютера. На машину доставляются неподписанные MSI-инсталляторы, причём их установка происходит без всякого участия пользователя. Человек за компьютером может вообще не заметить, что в фоне ставится новое ПО.
Финальный штрих — установка AnyDesk. Это легитимная программа для удалённого доступа, которой пользуются миллионы людей по всему миру. Антивирусы её не удаляют, администраторы её не подозревают. Через AnyDesk атакующие получают полноценный постоянный доступ к заражённой машине: могут забирать файлы, устанавливать дополнительную малварь, просматривать содержимое экрана.
Конечные цели злоумышленников, по оценке Microsoft, — кража конфиденциальных данных и развёртывание дополнительного вредоносного ПО по мере необходимости. Скомпрометированная машина фактически превращается в плацдарм, с которого можно атаковать внутреннюю сеть организации или просто долго и тихо выкачивать информацию.
Специалисты из Редмонда характеризуют эту кампанию как «изощрённую цепочку заражения». Её сила в комбинации сразу нескольких подходов: социальная инженерия через популярный мессенджер на первом этапе, использование переименованных системных утилит и скрытых атрибутов для маскировки, плюс размещение пэйлоадов на доверенных облачных сервисах, которые сетевые защиты обычно пропускают без вопросов. Каждый элемент по отдельности не нов, но их сочетание делает обнаружение атаки по-настоящему трудным.
Изображение носит иллюстративный характер
После запуска VBS-файла первым делом создаётся скрытая папка внутри каталога
C:\ProgramData. Туда сбрасываются переименованные копии штатных утилит Windows: curl.exe маскируется под netapi.dll, а bitsadmin.exe получает имя sc.exe. Этот приём — так называемая тактика living-off-the-land, когда атакующие используют легитимные инструменты операционной системы, чтобы не вызывать подозрений у антивирусного ПО. Для защитных средств активность этих бинарников выглядит как обычная системная работа. Дальше переименованные утилиты подтягивают дополнительные VBS-файлы с облачных платформ. Атакующие размещают полезную нагрузку на AWS S3, Tencent Cloud и Backblaze B2. Расчёт простой: корпоративные и пользовательские фаерволы, как правило, не блокируют трафик к крупным облачным провайдерам. Запросы к Amazon или Tencent не вызывают тревоги у сетевых фильтров, и вредоносный код спокойно загружается на машину жертвы.
Самый опасный этап — обход механизма контроля учётных записей (UAC). Малварь модифицирует настройки UAC, ослабляя защиту системы, а потом в цикле пытается запустить
cmd.exe с повышенными привилегиями. Попытки продолжаются до тех пор, пока повышение прав не удаётся или процесс не завершается принудительно. Параллельно вносятся изменения в реестр по пути HKLM\Software\Microsoft\Win. Получив привилегии, атакующие закрепляются в системе. Устанавливаются механизмы автозапуска, которые переживают перезагрузку компьютера. На машину доставляются неподписанные MSI-инсталляторы, причём их установка происходит без всякого участия пользователя. Человек за компьютером может вообще не заметить, что в фоне ставится новое ПО.
Финальный штрих — установка AnyDesk. Это легитимная программа для удалённого доступа, которой пользуются миллионы людей по всему миру. Антивирусы её не удаляют, администраторы её не подозревают. Через AnyDesk атакующие получают полноценный постоянный доступ к заражённой машине: могут забирать файлы, устанавливать дополнительную малварь, просматривать содержимое экрана.
Конечные цели злоумышленников, по оценке Microsoft, — кража конфиденциальных данных и развёртывание дополнительного вредоносного ПО по мере необходимости. Скомпрометированная машина фактически превращается в плацдарм, с которого можно атаковать внутреннюю сеть организации или просто долго и тихо выкачивать информацию.
Специалисты из Редмонда характеризуют эту кампанию как «изощрённую цепочку заражения». Её сила в комбинации сразу нескольких подходов: социальная инженерия через популярный мессенджер на первом этапе, использование переименованных системных утилит и скрытых атрибутов для маскировки, плюс размещение пэйлоадов на доверенных облачных сервисах, которые сетевые защиты обычно пропускают без вопросов. Каждый элемент по отдельности не нов, но их сочетание делает обнаружение атаки по-настоящему трудным.
