Stručni tim za bezbjednosna istraživanja kompanije Microsoft izdao je hitno upozorenje o novoj kampanji socijalnog inženjerstva koja od kraja februara 2026. godine cilja korisnike širom svijeta putem popularne aplikacije WhatsApp.
Napad je osmišljen tako da korisniku stigne naizgled bezazlena poruka koja sadrži Visual Basic Script (VBS) fajl. Onog trenutka kada žrtva pokrene ovaj fajl, započinje destruktivna lančana reakcija koja napadačima omogućava potpuni daljinski pristup kompromitovanom uređaju.
Istraživači Microsoft Defender Security Research Team ističu da ova kampanja vješto kombinuje psihološku manipulaciju sa takozvanim „living-off-the-land“ tehnikama. To praktično znači da malver koristi legitimne Windows alate i servise kako bi ostao neprimijećen od strane tradicionalnih antivirusnih programa.
Kamuflaža unutar sistema
Nakon što se aktivira, malver kreira skrivene foldere u sistemskom direktorijumu C:\ProgramData. Kako bi dodatno zametnuo trag, on preimenuje legitimne Windows procese. Na primjer, alat curl.exe (namijenjen preuzimanju podataka) maskira se kao netapi.dll, dok se bitsadmin.exe prikazuje kao sc.exe. Ovakva kamuflaža omogućava hakerima da preuzimaju dodatne maliciozne sadržaje bez izazivanja sumnje u sistemu.
Dodatnu opasnost predstavlja činjenica da se maliciozni paketi preuzimaju sa pouzdanih cloud platformi kao što su Amazon Web Services (S3), Tencent Cloud i Backblaze. Na taj način se hakerski saobraćaj savršeno uklapa u regularnu upotrebu interneta, što otežava detekciju na mrežnom nivou.
Cilj: Apsolutna moć nad računarom
Krajnja namjera napadača je sticanje administratorskih privilegija. Malver agresivno pokušava da izmijeni postavke kontrole korisničkog naloga (UAC) kako bi utišao sigurnosna upozorenja i osigurao da ostane aktivan čak i nakon što korisnik restartuje računar.
U završnoj fazi, hakeri instaliraju pakete koji se lažno predstavljaju kao poznati softveri, poput WinRAR-a, AnyDesk-a ili sistemskih instalera (Setup.msi). Ovim korakom uspostavljaju trajni "backdoor" ulaz u sistem, dajući sebi istu moć nad uređajem koju ima i sam vlasnik.
Kako se zaštititi?
Iz Microsofta savjetuju korisnike na maksimalan oprez prilikom primanja neočekivanih poruka i fajlova na WhatsApp-u, čak i ako dolaze od poznatih kontakata čiji su nalozi možda već kompromitovani. Ključna preporuka je izbjegavanje otvaranja skriptnih fajlova (.vbs, .js, .bat) i održavanje antivirusne zaštite u aktivnom stanju sa najnovijim definicijama prijetnji.