«Привет, это я — вирус». Как обычное сообщение в WhatsApp превращает компьютер в инструмент хакеров
NewsMakerСкрытые процессы меняют правила игры без вашего ведома.
В конце февраля 2026 года злоумышленники запустили новую кампанию с необычной тактикой — вредоносные файлы для Windows начали распространять через привычные сообщения в WhatsApp *. Расчёт оказался простым: доверие к знакомому мессенджеру снижает бдительность, а дальше цепочка заражения развивается почти незаметно для пользователя.
Команда Microsoft Defender Security Research зафиксировала атаку , в которой используются скрипты Visual Basic. После запуска такой файл создаёт скрытые каталоги в системе и подменяет стандартные утилиты Windows. Например, «curl.exe» получает имя «netapi.dll», а bitsadmin.exe маскируется под sc.exe. При этом внутренние метаданные остаются прежними, что даёт шанс обнаружить подмену, но только при внимательном контроле.
Дальше вредоносная активность уходит в облако. Скрипты загружают дополнительные компоненты с популярных сервисов вроде Amazon Web Services, Tencent Cloud и Backblaze. Такой подход помогает спрятать вредоносный трафик среди легитимных запросов и усложняет анализ сетевой активности.
После закрепления в системе вредоносное ПО пытается повысить привилегии. Для этого меняются параметры контроля учётных записей Windows, а командная строка запускается с правами администратора вплоть до успешного результата. Параллельно вносятся изменения в реестр, чтобы сохранить доступ даже после перезагрузки устройства.
В конце февраля 2026 года злоумышленники запустили новую кампанию с необычной тактикой — вредоносные файлы для Windows начали распространять через привычные сообщения в WhatsApp *. Расчёт оказался простым: доверие к знакомому мессенджеру снижает бдительность, а дальше цепочка заражения развивается почти незаметно для пользователя.
Команда Microsoft Defender Security Research зафиксировала атаку , в которой используются скрипты Visual Basic. После запуска такой файл создаёт скрытые каталоги в системе и подменяет стандартные утилиты Windows. Например, «curl.exe» получает имя «netapi.dll», а bitsadmin.exe маскируется под sc.exe. При этом внутренние метаданные остаются прежними, что даёт шанс обнаружить подмену, но только при внимательном контроле.
Дальше вредоносная активность уходит в облако. Скрипты загружают дополнительные компоненты с популярных сервисов вроде Amazon Web Services, Tencent Cloud и Backblaze. Такой подход помогает спрятать вредоносный трафик среди легитимных запросов и усложняет анализ сетевой активности.
После закрепления в системе вредоносное ПО пытается повысить привилегии. Для этого меняются параметры контроля учётных записей Windows, а командная строка запускается с правами администратора вплоть до успешного результата. Параллельно вносятся изменения в реестр, чтобы сохранить доступ даже после перезагрузки устройства.