Для рассылки используются ранее скомпрометированные учётные записи
В июне 2026 года эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили кампанию по распространению вредоносных файлов VBScript в WhatsApp* (и в десктопной версии, и в приложении). После заражения злоумышленники получают удалённый доступ к устройству через стандартные административные функции, предназначенные для легитимной ИТ-поддержки и управления. Кампания затронула Малайзию, Бразилию, Сингапур, Тайвань и Вьетнам.
Для рассылки вредоносных вложений злоумышленники используют скомпрометированные ранее учётные записи WhatsApp*. Пользователь получает личное сообщение якобы от человека из списка контактов. Это повышает вероятность того, что файл будет открыт.
В кампании применяются также методы социальной инженерии. Атакующие называют файлы так, чтобы они напоминали обычные деловые документы. Среди обнаруженных примеров — счета-фактуры, банковские выписки, выписки по счетам, отчёты об оплате и уведомления о задолженности. Названия файлов локализованы на несколько языков, включая английский, португальский, французский, немецкий и малайский. Кроме того, образцы VBScript содержат обширные комментарии и метаданные, имитирующие легитимные компоненты Центра обновления Windows.
«Злоумышленники злоупотребляют доверием пользователей мессенджеров, используя для рассылки вредоносных вложений скомпрометированные учётные записи и отправляя сообщения по списку контактов. В обнаруженной кампании названия файлов тщательно маскируются под обычные деловые документы и локализуются на несколько языков для охвата широкой аудитории. После открытия файлы запускают поэтапную цепочку заражения, в ходе которой незаметно загружаются и запускаются дополнительные вредоносные компоненты с внешней инфраструктуры. Учитывая разнообразие языков в атаке, не исключено, что в дальнейшем злоумышленники могут адаптировать схему под Россию», — комментирует Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.
Эксперты Kaspersky GReAT рекомендуют:
· соблюдать осторожность при получении сообщений в мессенджерах, даже если они приходят от знакомых контактов; уточнить по другому каналу связи, в курсе ли отправитель, какие рассылки приходят от его имени;
· не открывать файлы с расширениями скриптов и исполняемые файлы, такие как .vbs, .vbe, .exe, .bat, .cmd, .js и .ps1;
· установить на все используемые устройства надёжные защитные решения, эффективность которых подтверждена независимыми тестами.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.
* Мессенджер принадлежит корпорации Meta, деятельность которой признана в РФ экстремистской.
