Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 25.06.2026 · 4 min Lesezeit

WhatsApp VBScript-Kampagne: Fake-Dokumente installieren ManageEngine RMM-Tool

Kaspersky hat eine aktive Kampagne entdeckt, die kompromittierte WhatsApp-Konten nutzt, um VBScript-Dateien zu verbreiten. Die Malware installiert das legitime RMM-Tool ManageEngine RMM Central auf den Systemen der Opfer.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
WhatsApp VBScript Kampagne mit Fake Dokumenten, schädlicher VBS Datei und Remote Management Dashboard, das die Installation eines ManageEngine RMM Tools auf einem Windows System visualisiert.

Kaspersky hat eine aktive Malware-Kampagne entdeckt, die kompromittierte WhatsApp-Kontos nutzt, um manipulierte VBScript-Dateien zu verbreiten. Ziel der Kampagne ist die Installation des legitimen Remote Monitoring & Management (RMM)-Tools ManageEngine RMM Central auf den Systemen der Opfer. Der folgende Artikel erklärt die technischen Details und gibt Admins konkrete Schutzmaßnahmen.

Meldung und Einordnung

Am 24. Juni 2026 veröffentlichten Sicherheitsforscher von Kaspersky einen detaillierten Bericht über eine aktive Kampagne, die WhatsApp-Nachrichten nutzt, um VBScript-Dateien zu verbreiten. Die Kampagne richtet sich gegen Nutzer von WhatsApp Desktop und WhatsApp Web in mehreren Ländern, darunter Malaysia, Brasilien, Indien, Mexiko, Singapur, Großbritannien, Spanien, Taiwan, Australien, Russland und Vietnam.

Die Angriffskette ist bemerkenswert, weil sie ein legitimes RMM-Tool als finale Payload nutzt. Statt klassischer Malware wird ManageEngine RMM Central installiert, ein legitimes Administrationswerkzeug. Die Verteilung über kompromittierte WhatsApp-Konten macht das Social Engineering besonders effektiv, da die Nachrichten von vertrauten Absendern stammen.

Technische Details für Admins

Die Angriffskette besteht aus mehreren Stufen. Zunächst kompromittieren die Angreifer WhatsApp-Konten (der genaue Mechanismus ist noch unklar). Von den gekaperten Konten werden VBScript-Dateien an die Kontakte gesendet. Die Dateien tarnen sich als Geschäfts- oder Finanzdokumente mit Namen wie Financial Reports.vbs oder Account Statement.vbs. Es gibt auch Varianten auf Portugiesisch, Französisch, Deutsch und Malaiisch.

StufeKomponenteFunktion
1WhatsApp-NachrichtSocial Engineering über kompromittiertes Konto
2VBScript-DateiPrimärer Dropper, getarnt als Finanzdokument
3WScript.exeFührt das VBScript aus (WhatsApp Desktop: automatisch)
4Payload 1Manipuliert Windows UAC-Einstellungen
5Payload 2Lädt ZIP mit ManageEngine RMM Central

Die VBScript-Dateien enthalten umfangreiche chinesischsprachige Kommentare, die Windows-Update-Komponenten imitieren sollen, darunter Zertifikatsvalidierung und Systemintegritätsprüfungen. Bei WhatsApp Web muss das Opfer die Datei manuell herunterladen und öffnen. Bei WhatsApp Desktop wird die Malware direkt innerhalb der App ausgeführt: WhatsApp.Root.exe startet WScript.exe.

Das primäre VBScript lädt zwei sekundäre VBScript-Payloads von einem Remote-Server nach. Der erste Payload manipuliert die Windows User Account Control (UAC)-Einstellungen, der zweite lädt ein ZIP-Archiv herunter und führt es aus. Dieses enthält das ManageEngine RMM Central-Installationspaket.

Die C2-Infrastruktur läuft über die IP-Adresse 202.61.160.201. Kaspersky hat Überschneidungen mit früheren, mit EagleEye in Verbindung gebrachten Aktivitäten festgestellt.

Risiko für KMU und Betrieb

Die Kampagne ist besonders gefährlich, weil sie die Vertrauensbeziehung innerhalb von WhatsApp-Kontakten ausnutzt. Mitarbeiter sind es gewohnt, Dateien und Dokumente über WhatsApp auszutauschen. Ein Angreifer, der sich Zugang zu einem Konto verschafft hat, kann von dort aus gezielt Kontakte in der Finanzabteilung oder Geschäftsführung ansprechen.

Die Verwendung von ManageEngine RMM Central als finale Payload ist ein weiterer gefährlicher Aspekt. RMM-Tools haben per Design weitreichende Zugriffsrechte auf dem System. Ein Angreifer mit Kontrolle über das RMM-Tool kann Remote-Befehle ausführen, Software installieren und auf sensible Daten zugreifen. Da es sich um ein legitimes Tool handelt, wird es von Sicherheitslösungen nicht als Malware erkannt.

Für KMU ist das Risiko besonders hoch, da sie oft über weniger ausgefeilte Sicherheitsmaßnahmen verfügen als große Unternehmen. Die Kampagne zielt gezielt auf Geschäftsanwender und Finanzabteilungen ab.

Was Admins jetzt prüfen sollten

  1. Mitarbeiter sensibilisieren: Informieren Sie Ihre Mitarbeiter darüber, keine Skript-Dateien (.vbs, .vbe, .exe, .bat, .cmd, .js, .ps1) aus WhatsApp zu öffnen. Geschäftsdokumente werden nie als .vbs versendet.
  2. Windows Script Host deaktivieren: Deaktivieren Sie WSH wo nicht benötigt. Gruppenrichtlinie: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows-Installer > Windows Script Host deaktivieren. Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings\Enabled = 0.
  3. UAC auf höchster Stufe belassen: Stellen Sie sicher, dass UAC auf Stufe 3 (Standard) konfiguriert ist. Der Angriff versucht gezielt, UAC herunterzustufen.
  4. AppLocker oder WDAC konfigurieren: Blockieren Sie die Ausführung von Skripten aus dem Downloads-Ordner. Erlauben Sie nur signierte Skripte von vertrauenswürdigen Herausgebern.
  5. EDR auf Prozessketten überwachen: Überwachen Sie die Prozesskette WhatsApp.Root.exe > WScript.exe > Netzwerkverbindungen. Unautorisierte ManageEngine-Installationen als Alarm werten.
  6. C2-IP blockieren: Blockieren Sie 202.61.160.201 auf Firewall und Proxy. Überwachen Sie ausgehende Verbindungen zu dieser IP.
  7. WhatsApp 2FA aktivieren: Aktivieren Sie Zwei-Faktor-Authentifizierung für WhatsApp Business und WhatsApp Desktop. Prüfen Sie regelmäßig aktive WhatsApp-Web-Sitzungen.

Betriebscheck nach der Meldung

  1. Habe ich meine Mitarbeiter über die aktuelle WhatsApp-Kampagne informiert?
  2. Ist Windows Script Host auf allen Clients deaktiviert oder eingeschränkt?
  3. Sind AppLocker- oder WDAC-Richtlinien aktiv, die Skriptausführung aus dem Downloads-Ordner blockieren?
  4. Wird die Prozesskette WhatsApp.Root.exe > WScript.exe überwacht?
  5. Ist die C2-IP 202.61.160.201 auf der Firewall blockiert?
  6. Habe ich unautorisierte RMM-Installationen im Monitoring?
  7. Ist 2FA für WhatsApp Business aktiviert?

Admin-Einschätzung

Die WhatsApp VBScript-Kampagne ist ein weiteres Beispiel für die zunehmende Professionalisierung von Social-Engineering-Angriffen. Die Kombination aus kompromittierten WhatsApp-Konten, getarnten VBScript-Dateien und der Installation eines legitimen RMM-Tools zeigt, dass die Angreifer tiefgehende Kenntnisse der Windows-Sicherheitsarchitektur und der menschlichen Psychologie haben.

Besonders besorgniserregend ist die Verwendung von ManageEngine RMM Central als finale Payload. RMM-Tools sind per Design für Remote-Administration ausgelegt und haben weitreichende Zugriffsrechte. Ein Angreifer mit Kontrolle über ein RMM-Tool kann praktisch uneingeschränkt auf dem System agieren. Da das Tool legitim ist, wird es von den meisten Sicherheitslösungen nicht als Bedrohung erkannt. Admins sollten die Installation von RMM-Software aktiv überwachen und nur autorisierte Installationen zulassen.

Passende Anleitungen auf S-EDV

  1. Security-Awareness-Programm und Phishing-Simulation im KMU aufbauen – Grundlagen für Social-Engineering-Prävention.
  2. Phishing erkennen und melden – Kurzleitfaden fürs Team – Praktische Anleitung für Mitarbeiter.
  3. Gentlemen Ransomware: EDR-Killer deaktiviert Sicherheitssoftware von 48 Herstellern – Aktuelle Ransomware-Bedrohung und Schutzmaßnahmen.

Quellen

  1. The Hacker News: WhatsApp VBScript Campaign Uses Fake Documents to Install ManageEngine RMM Tool
  2. Kaspersky: Original Research Report
  3. NVD: CVE-2026-11645 Detail
Verwandt

Weiter lesen

Alle Artikel →
IT-News-Grafik zu Cordyceps: kritische CI/CD-Sicherheitslücken gefährden über 300 GitHub-Repositories und zeigen Risiken in automatisierten Build-Pipelines.
25.06.2026 ·4 min

Cordyceps: Kritische CI/CD-Lücken gefährden 300+ GitHub-Repos

Novee Security hat die Cordyceps-CI/CD-Schwachstellen aufgedeckt, die über 300 GitHub-Repos von Microsoft, Google, Apache, Cloudflare und Python Software Foundation betreffen. Angreifer können von jedem kostenlosen GitHub-Account aus Supply-Chain-Angriffe starten.
Malicious npm Pakete tarnen sich als PostCSS Tools und liefern Windows RAT über manipulierte JavaScript Pakete aus.
25.06.2026 ·3 min

Malicious npm-Pakete tarnen sich als PostCSS-Tools und liefern Windows-RAT aus

JFrog Research hat drei bösartige npm-Pakete entdeckt (aes-decode-runner-pro, postcss-minify-selector, postcss-minify-selector-parser), die einen Windows-RAT installieren. Der Angriff nutzt Typosquatting auf postcss-selector-parser (127 Mio. Weekly Downloads).
BKA und ZIT isolieren bei Operation Endgame drei Malware-Varianten in einer Cybersecurity-Kontrollraum-Visualisierung.
25.06.2026 ·5 min

Operation Endgame: BKA und ZIT nehmen drei Malware-Varianten vom Netz

BKA und ZIT haben im Rahmen der Operation Endgame drei Malware-Varianten (SocGholish, StealC, Amadey) vom Netz genommen. Über 320 Server wurden beschlagnahmt, rund 27 Millionen Zugangsdaten sichergestellt. Die Aktion zielt auf die Anfangskette von Cyberangriffen.