Malware verbreitet sich ber kompromittierte WhatsApp-Konten – Analyse einer neuen Angriffswelle
LGR Reutlingen – 23 Juni 2026 | Die aktuelle Kampagne, die von Kaspersky aufgedeckt wurde, zeigt eindrucksvoll, dass Malware verbreitet sich ber kompromittierte WhatsApp-Konten und damit ein vertrautes Kommunikationsmittel als Angriffsvektor nutzt. Die Angreifer setzen dabei auf bereits gehackte Nutzerprofile, um scheinbar legitime Geschäftsunterlagen an Kontakte zu senden. Das Ergebnis: Empfänger öffnen die Anhänge aus Vertrauen und ermöglichen damit die Installation einer mehrstufigen Schadsoftware, die tief in die Systemlandschaft eindringt.
Warum Malware verbreitet sich ber kompromittierte WhatsApp-Konten – ein Blick auf die Taktik
WhatsApp gehört zu den am häufigsten genutzten Messaging‑Apps in Deutschland und weltweit. Die Plattform bietet Ende-zu-Ende‑Verschlüsselung, was sie für Privatnutzer sicher erscheinen lässt, aber gleichzeitig Angreifern einen direkten Draht zu vertrauenswürdigen Kontakten verschafft. Kaspersky hat festgestellt, dass die aktuelle Malware‑Kampagne die folgenden Elemente kombiniert:
- Gefälschte Rechnungen, Zahlungsbestätigungen oder Mahnungen in mehreren Sprachen (Deutsch, Englisch, Französisch, Portugiesisch).
- Verwendung von Dateinamen, die gängige Geschäftsdokumente imitieren, etwa Rechnung_2023_03.pdf oder Zahlungsbestätigung_ABC.docx.
- Ein mehrstufiges Infektionsmodell, das zunächst Skripte von externen Servern nachlädt, dann Remote‑Access‑Tools (RAT) installiert und schließlich System‑ und Netzwerk‑Kontrollen übernimmt.
Der entscheidende Hebel liegt im sozialen Vertrauen: Sobald eine Nachricht von einer bekannten Nummer kommt, sinkt die Hemmschwelle, Anhänge zu öffnen. Das unterscheidet diese Kampagne von klassischen Phishing‑Mails, die oft über unbekannte Absender laufen.
Technische Details der Infektionskette
Der erste Schritt beginnt, sobald der Empfänger den Anhang – häufig ein Office‑Dokument mit eingebetteten Makros – aktiviert. Das Makro lädt ein PowerShell‑Script herunter, das wiederum weitere Payloads von einer Command‑and‑Control‑Infrastruktur bezieht. Zu den nachgeladenen Komponenten gehören:
- Ein Schlüssel‑Logger, der Tastatureingaben erfasst.
- Ein Screen‑Capture‑Modul, das periodisch Screenshots erstellt.
- Ein Netzwerk‑Sniffer, der Datenverkehr analysiert und sensible Informationen extrahiert.
- Ein Modul für persistente System‑Backdoors, das über legitime Windows‑Tools wie wmic und schtasks installiert wird.
Durch die Nutzung von legitimen Administrationswerkzeugen bleibt die Malware lange unentdeckt, weil viele Antiviren‑Engines diese Aktivitäten als normal einstufen.
Die internationale Ausrichtung der Kampagne wird durch die Mehrsprachigkeit der Dokumente unterstrichen. In Deutschland erreichen insbesondere kleine und mittlere Unternehmen (KMU) den größten Teil der Opfer, weil dort häufig keine dedizierten IT‑Sicherheitsabteilungen existieren.
Prävention und Handlungsempfehlungen für Unternehmen
Unternehmen, die WhatsApp im geschäftlichen Umfeld einsetzen, sollten die folgenden Punkte sofort prüfen:
- Schulung der Mitarbeitenden: Aufklärung über das Risiko von unerwarteten Anhängen, selbst wenn sie von bekannten Kontakten stammen.
- Mehr‑Faktor‑Authentifizierung (MFA): Aktivierung von MFA für das WhatsApp‑Web‑Interface und für verknüpfte Cloud‑Dienste.
- Endpoint‑Protection: Einsatz von modernen Sicherheitstools, die Verhaltensanalyse und Zero‑Trust‑Prinzipien unterstützen.
- Verifizierungsprozess: Bei kritischen Dokumenten immer über einen zweiten Kommunikationsweg (z. B. Telefon) bestätigen, dass der Anhang tatsächlich vom Absender stammt.
- Netzwerksegmentierung: Beschränkung des Zugriffs von Endgeräten, die WhatsApp nutzen, auf interne Systeme, um lateral Movement zu erschweren.
Darüber hinaus empfiehlt Kaspersky, regelmäßige Backups und eine klare Incident‑Response‑Strategie zu implementieren, um im Fall einer Infektion schnell reagieren zu können.
Langfristige Implikationen für die Cyber‑Landschaft
Die Tatsache, dass Malware verbreitet sich ber kompromittierte WhatsApp-Konten und dabei professionelle IT‑Verwaltungswerkzeuge nutzt, signalisiert eine neue Stufe der Professionalität im Cybercrime. Angreifer kombinieren Social‑Engineering‑Taktiken mit Infrastruktur‑as‑a‑Service‑Modellen, die zuvor vornehmlich von staatlich unterstützten Gruppen verwendet wurden.
Für die Sicherheitsbranche bedeutet das, dass herkömmliche Signatur‑basierte Lösungen allein nicht mehr ausreichen. Echtzeit‑Analyse, Threat‑Intelligence‑Feeds und ein stärkerer Fokus auf Nutzer‑verhalten werden zentral, um solche Kampagnen frühzeitig zu erkennen.
Auch regulatorische Aspekte rücken in den Fokus: Die EU‑Datenschutz-Grundverordnung (DSGVO) verlangt Meldungen von Datenschutzverletzungen innerhalb von 72 Stunden. Unternehmen, die durch eine solche Malware‑Infektion personenbezogene Daten verlieren, müssen nicht nur technische, sondern auch rechtliche Konsequenzen tragen.
Schließlich stellt die Nutzung von Messaging‑Apps im geschäftlichen Kontext ein Dilemma dar. Während sie die Kommunikation beschleunigen, öffnen sie zugleich Angriffsflächen, die bislang eher im E‑Mail‑Umfeld zu finden waren. Eine mögliche Antwort ist die Einführung von sicheren, unternehmensinternen Alternativen, die zentral verwaltet und auditierbar sind.
Die Kampagne von Kaspersky ist ein Warnsignal: Sobald das Vertrauen in einen Kommunikationspartner ausgenutzt wird, kann Malware WhatsApp – kurz gesagt – schnell zu einem ernsthaften Risiko für Unternehmen jeder Größe werden. Proaktive Maßnahmen, kontinuierliche Sensibilisierung und ein robustes Sicherheits-Framework sind die einzigen wirksamen Gegenmittel gegen diese wachsende Bedrohung.
