Вам пришёл документ в WhatsApp? Не спешите открывать. Новая атака использует ваше доверие

AmnesicNode

⚡ Contributor
ACTIVE NODE
INITIATED
Представьте, вам приходит сообщение в WhatsApp от коллеги или знакомого. Во вложении файл с названием вроде «Outstanding Payment List.vbs» или «Statement of Debt(30K).vbs». Вы открываете и всё. Ваш компьютер больше не ваш.

В июне 2026 года эксперты «Лаборатории Касперского» обнаружили масштабную фишинговую кампанию, которая использует доверие к знакомым контактам как главный инструмент атаки. Злоумышленники взламывают аккаунты WhatsApp и рассылают от их имени вредоносные VBS-файлы всем контактам жертвы.

Особенность этой атаки в том, что файлы маскируются под обычные деловые документы: счета, финансовые отчёты, уведомления о задолженности. Названия локализованы под язык получателя, включая английский, португальский, французский, немецкий и малайский. Поэтому жертвами стали пользователи по всему миру: Бразилия, Индия, Мексика, Сингапур, Великобритания, Испания, Тайвань, Австралия, Россия, Вьетнам и Малайзия. По данным исследователей, около 80 процентов всех пострадавших находятся именно в Малайзии.

Как именно злоумышленники получают доступ к аккаунтам, пока неизвестно. Но сам механизм заражения уже изучен. Если пользователь скачивает и запускает вложение на Windows, VBScript запускает цепочку действий. Сначала он обращается к серверам атакующих и загружает дополнительные скрипты. Затем эти скрипты меняют параметры реестра и отключают защиту User Account Control (UAC). После этого на компьютер жертвы загружается ZIP-архив с ManageEngine Endpoint Central, легитимным инструментом для удалённого администрирования, который используют IT-специалисты. Программа устанавливается в фоновом режиме и подключает заражённый компьютер к серверам злоумышленников, давая им полный удалённый доступ.

Иными словами, атакующие не используют кастомный вредонос. Они берут доверенный инструмент и настраивают его против вас. Легитимное ПО перестаёт быть защитой и становится оружием.

Важный нюанс. Если вы открываете файл через WhatsApp Web, его сначала нужно скачать. А в настольном клиенте VBS-файл может запускаться напрямую через Windows Script Host. Это делает пользователей десктопной версии ещё более уязвимыми.

Эксперты «Касперского» обнаружили следы китайского языка в коде и пересечения инфраструктуры с адресами, которые ранее связывали с активностью ValleyRAT и Gh0st RAT. Однако доказательств для уверенной атрибуции пока недостаточно.

Как защитить себя. Правила простые, но критически важные.

Не открывайте вложения с расширениями .vbs, .vbe, .bat, .cmd, .js, .ps1 и .exe, даже если они пришли от знакомого контакта. Такие файлы не должны появляться в мессенджерах.

Если вам пришёл неожиданный файл от коллеги или друга, уточните по другому каналу связи, отправлял ли он его на самом деле. Один звонок или сообщение в другом мессенджере может спасти ваш компьютер.

Убедитесь, что на всех устройствах установлено актуальное антивирусное решение.

Доверие главная уязвимость в этой атаке.
 

qwerty567ghjklmn

🔹 Member
INITIATED
Спасибо, что предупредили. Я как раз вчера получил в WhatsApp файл от коллеги с названием «Список должников.xls.vbs». Я сначала удивился, потому что коллега обычно присылает Excel-файлы без vbs. Хорошо, что я не открыл. Теперь я знаю, что это была ловушка. Буду теперь всегда перепроверять, даже если файл пришёл от знакомого. Надо будет коллеге позвонить и сказать, что его аккаунт взломали.
 

kra-kra-Kra)))

⚡ Contributor
ACTIVE NODE
INITIATED
А я уже скачала такой файл, но не запускала. Повезло, что антивирус сработал и сразу его удалил. Теперь я понимаю, что это была серьёзная угроза, а не просто вирус. Автор пишет, что атакующие используют легитимные инструменты, типа ManageEngine Endpoint Central. Это вообще страшно. Они могут получить полный доступ к компьютеру через официальное ПО. Надо теперь пересмотреть настройки безопасности и выключить UAC.
 

CrazyPanda42

🔹 Member
INITIATED
Я работаю с документами через WhatsApp каждый день, так как гавномакс - это ебаная дырявая помойка. Счета, договоры, отчёты. Теперь я не знаю, как быть. Получается, любой файл может быть вредоносным, даже если он пришёл от проверенного контакта. Звонить каждому отправителю и спрашивать, отправлял ли он файл, это же невозможно. Может, есть какой-то способ быстро проверить файл без риска? Если кто-то знает, напишите. А так статья очень полезная, спасибо.
 

NoName_X

🔹 Member
INITIATED
А я считаю, что проблема не только в WhatsApp, а вообще в доверии к знакомым отправителям. Мы привыкли верить людям, с которыми общаемся. А хакеры взламывают аккаунты и пишут от их имени. Единственный способ защититься - не открывать вложения с расширениями .vbs, .js, .bat и другими. Даже если это документ. Лучше попросить отправить PDF или Word, которые безопаснее. И обязательно проверять антивирусом.
 

_Murloc_

🔹 Member
INITIATED
Слушайте, это же какой-то пиздец. Я работаю в IT, и знаю, как работают такие атаки. Они не просто воруют данные, они могут полностью контролировать компьютер. Но самое страшное, что они используют официальные инструменты, которые обычно считаются безопасными. Это как если бы ваш домофон открыла полиция, а потом туда зашли грабители. Единственный совет: не открывайте ничего, даже от знакомых, если не уверены на 100%. И делайте резервные копии. Жестко, но другого выхода нет.
 
Верх