'Open niet zomaar elk WhatsApp-bericht!' waarschuwt Microsoft

De aanval begint met een WhatsApp-bericht met daarin een bestand met de extensie .vbs. Dat is een scriptbestand voor Windows. Op een smartphone gebeurt er meestal niets wanneer je zo'n bestand opent, omdat iPhones en Android-toestellen dit type script niet kunnen uitvoeren. Het gevaar ontstaat pas wanneer iemand de bijlage via WhatsApp op een Windows-computer downloadt en opent, bijvoorbeeld via WhatsApp Desktop of WhatsApp Web.

Zodra het script wordt gestart, maakt het een verborgen map aan op de computer. Daarin plaatst de malware ingebouwde Windows-hulpprogramma's - maar dan onder een andere naam. Zo wordt bijvoorbeeld curl.exe vermomd als netapi.dll en bitsadmin.exe als sc.exe. Doordat ze hernoemd zijn naar legitieme Windows-systeembestanden vallen ze niet op. Maar met curl.exe en bitsadmin.exe kunnen hackers stap voor stap extra malware downloaden en installeren.

Die extra bestanden worden onder meer opgehaald van bekende cloudplatforms zoals Amazon AWS, Tencent Cloud en Backblaze. Omdat die diensten ook door legitieme software worden gebruikt, lijkt het netwerkverkeer minder snel verdacht.

In een volgende stap probeert de malware meer rechten op de computer te krijgen door beveiligingsinstellingen van Windows aan te passen. Lukt dat, dan kan de kwaadaardige software zich blijvend op het systeem nestelen en ook na een herstart actief blijven.

In de laatste fase worden installatiebestanden geplaatst waarmee aanvallers op afstand toegang tot de pc kunnen krijgen. Daarmee kunnen ze bijvoorbeeld gegevens stelen, extra malware installeren of het systeem gebruiken voor andere cyberaanvallen.

Het advies is daarom simpel: open geen onverwachte bijlagen uit WhatsApp op een Windows-pc, ook niet als het bericht van een bekende lijkt te komen.