Представьте, вам приходит сообщение в WhatsApp от коллеги или знакомого. Во вложении файл с названием вроде «Outstanding Payment List.vbs» или «Statement of Debt(30K).vbs». Вы открываете и всё. Ваш компьютер больше не ваш.
В июне 2026 года эксперты «Лаборатории Касперского» обнаружили масштабную фишинговую кампанию, которая использует доверие к знакомым контактам как главный инструмент атаки. Злоумышленники взламывают аккаунты WhatsApp и рассылают от их имени вредоносные VBS-файлы всем контактам жертвы.
Особенность этой атаки в том, что файлы маскируются под обычные деловые документы: счета, финансовые отчёты, уведомления о задолженности. Названия локализованы под язык получателя, включая английский, португальский, французский, немецкий и малайский. Поэтому жертвами стали пользователи по всему миру: Бразилия, Индия, Мексика, Сингапур, Великобритания, Испания, Тайвань, Австралия, Россия, Вьетнам и Малайзия. По данным исследователей, около 80 процентов всех пострадавших находятся именно в Малайзии.
Как именно злоумышленники получают доступ к аккаунтам, пока неизвестно. Но сам механизм заражения уже изучен. Если пользователь скачивает и запускает вложение на Windows, VBScript запускает цепочку действий. Сначала он обращается к серверам атакующих и загружает дополнительные скрипты. Затем эти скрипты меняют параметры реестра и отключают защиту User Account Control (UAC). После этого на компьютер жертвы загружается ZIP-архив с ManageEngine Endpoint Central, легитимным инструментом для удалённого администрирования, который используют IT-специалисты. Программа устанавливается в фоновом режиме и подключает заражённый компьютер к серверам злоумышленников, давая им полный удалённый доступ.
Иными словами, атакующие не используют кастомный вредонос. Они берут доверенный инструмент и настраивают его против вас. Легитимное ПО перестаёт быть защитой и становится оружием.
Важный нюанс. Если вы открываете файл через WhatsApp Web, его сначала нужно скачать. А в настольном клиенте VBS-файл может запускаться напрямую через Windows Script Host. Это делает пользователей десктопной версии ещё более уязвимыми.
Эксперты «Касперского» обнаружили следы китайского языка в коде и пересечения инфраструктуры с адресами, которые ранее связывали с активностью ValleyRAT и Gh0st RAT. Однако доказательств для уверенной атрибуции пока недостаточно.
Как защитить себя. Правила простые, но критически важные.
Не открывайте вложения с расширениями .vbs, .vbe, .bat, .cmd, .js, .ps1 и .exe, даже если они пришли от знакомого контакта. Такие файлы не должны появляться в мессенджерах.
Если вам пришёл неожиданный файл от коллеги или друга, уточните по другому каналу связи, отправлял ли он его на самом деле. Один звонок или сообщение в другом мессенджере может спасти ваш компьютер.
Убедитесь, что на всех устройствах установлено актуальное антивирусное решение.
Доверие главная уязвимость в этой атаке.
В июне 2026 года эксперты «Лаборатории Касперского» обнаружили масштабную фишинговую кампанию, которая использует доверие к знакомым контактам как главный инструмент атаки. Злоумышленники взламывают аккаунты WhatsApp и рассылают от их имени вредоносные VBS-файлы всем контактам жертвы.
Особенность этой атаки в том, что файлы маскируются под обычные деловые документы: счета, финансовые отчёты, уведомления о задолженности. Названия локализованы под язык получателя, включая английский, португальский, французский, немецкий и малайский. Поэтому жертвами стали пользователи по всему миру: Бразилия, Индия, Мексика, Сингапур, Великобритания, Испания, Тайвань, Австралия, Россия, Вьетнам и Малайзия. По данным исследователей, около 80 процентов всех пострадавших находятся именно в Малайзии.
Как именно злоумышленники получают доступ к аккаунтам, пока неизвестно. Но сам механизм заражения уже изучен. Если пользователь скачивает и запускает вложение на Windows, VBScript запускает цепочку действий. Сначала он обращается к серверам атакующих и загружает дополнительные скрипты. Затем эти скрипты меняют параметры реестра и отключают защиту User Account Control (UAC). После этого на компьютер жертвы загружается ZIP-архив с ManageEngine Endpoint Central, легитимным инструментом для удалённого администрирования, который используют IT-специалисты. Программа устанавливается в фоновом режиме и подключает заражённый компьютер к серверам злоумышленников, давая им полный удалённый доступ.
Иными словами, атакующие не используют кастомный вредонос. Они берут доверенный инструмент и настраивают его против вас. Легитимное ПО перестаёт быть защитой и становится оружием.
Важный нюанс. Если вы открываете файл через WhatsApp Web, его сначала нужно скачать. А в настольном клиенте VBS-файл может запускаться напрямую через Windows Script Host. Это делает пользователей десктопной версии ещё более уязвимыми.
Эксперты «Касперского» обнаружили следы китайского языка в коде и пересечения инфраструктуры с адресами, которые ранее связывали с активностью ValleyRAT и Gh0st RAT. Однако доказательств для уверенной атрибуции пока недостаточно.
Как защитить себя. Правила простые, но критически важные.
Не открывайте вложения с расширениями .vbs, .vbe, .bat, .cmd, .js, .ps1 и .exe, даже если они пришли от знакомого контакта. Такие файлы не должны появляться в мессенджерах.
Если вам пришёл неожиданный файл от коллеги или друга, уточните по другому каналу связи, отправлял ли он его на самом деле. Один звонок или сообщение в другом мессенджере может спасти ваш компьютер.
Убедитесь, что на всех устройствах установлено актуальное антивирусное решение.
Доверие главная уязвимость в этой атаке.