Zum Inhalt springen
logo Das Magazin für digitalen Lifestyle und Entertainment
Eine Marke von Bild
Messenger News WhatsApp Windows Alle Themen
Dringende Warnung!

Hier wird WhatsApp jetzt zur Malware-Falle

Smartphone mit WhatsApp Logo
Gefährliche Anhänge in WhatsApp-Nachrichten greifen Windows-Systeme an Foto: Getty Images
Artikel teilen
Mats Pache

8. April 2026, 8:45 Uhr | Lesezeit: 2 Minuten

Sicherheitsexperten von Microsoft machen auf eine neue Betrugsmasche aufmerksam, die gezielt Windows-PCs angreift. Cyberkriminelle nutzen dafür WhatsApp als Verbreitungsweg. Besonders betroffen ist die Desktop-Version unter Windows 11.

Hier können empfangene Dateien direkt geöffnet werden, was die Angriffe erleichtert. Laut einem Blog-Beitrag des Microsoft-Defender-Security-Teams versuchen die Angreifer auf diesem Weg, Zugriff auf Computer zu erhalten und diese zu kontrollieren.

Tarnung als harmlose Nachricht bei WhatsApp

Die Schadsoftware gelangt über manipulierte Visual-Basic-Skripte auf die Geräte. Diese werden als Dateianhang in WhatsApp-Nachrichten verschickt. Konkrete Beispiele nennt Microsoft nicht, doch das Vorgehen ist bekannt. Die Angreifer setzen gezielt auf Vertrauen in den Messenger. Wird die Datei geöffnet, startet im Hintergrund eine mehrstufige Infektion. Zunächst legt das Skript versteckte Ordner im Pfad „C:\ProgramData“ an. Dort speichert es veränderte Versionen legitimer Windows-Tools. Diese tragen unauffällige Namen wie „netapi.dll“ oder „sc.exe“.

Nachladen weiterer Schadsoftware

Im nächsten Schritt lädt die Malware zusätzliche Komponenten aus Cloud-Diensten nach. Genutzt werden dabei Plattformen wie Amazon Web Services (AWS) oder Tencent Cloud. Dadurch wirkt der Datenverkehr wie normale Aktivität und fällt weniger auf. Anschließend greift die Schadsoftware in wichtige Systemeinstellungen ein. Sie deaktiviert unter anderem die Benutzerkontensteuerung und verschafft sich Administratorrechte über die Eingabeaufforderung cmd.exe. Zusätzlich erstellt sie Registry-Einträge, um dauerhaft aktiv zu bleiben.

Mehr zum Thema

Dauerhafter Zugriff durch versteckte Installer

Am Ende der Infektionskette lädt die Malware weitere Programme herunter. Diese tragen Namen wie Setup.msi, WinRAR.msi, LinkPoint.msi oder AnyDesk.msi. Dahinter verbirgt sich unter anderem Fernwartungssoftware. So sichern sich die Angreifer langfristigen Zugriff auf den betroffenen Rechner. Sie können Daten auslesen, zusätzliche Schadsoftware installieren oder das Gerät in ein Botnetz einbinden.

Auch interessant: Neue WhatsApp-Features entdeckt! Mehr Komfort für Autofahrer und Gruppen

So schützt du dich vor der Attacke

Microsoft rät dazu, Scripting-Hosts auf Endgeräten zu blockieren und den Datenverkehr aus der Cloud genau zu überwachen. Unternehmen sollten ihre Mitarbeiter gezielt schulen. Denn bei dieser Kampagne spielt Social Engineering eine zentrale Rolle. Besonders wichtig: Öffne keine Dateien von unbekannten Absendern und prüfe Nachrichten kritisch, auch wenn sie über bekannte Dienste wie WhatsApp kommen.

Sie haben erfolgreich Ihre Einwilligung in die Nutzung unseres Angebots mit Tracking und Cookies widerrufen. Damit entfallen alle Einwilligungen, die Sie zuvor über den (Cookie-) Einwilligungsbanner bzw. über den Privacy-Manager erteilt haben. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit Tracking und Cookies entscheiden.

Bitte beachten Sie, dass dieser Widerruf aus technischen Gründen keine Wirksamkeit für sonstige Einwilligungen (z.B. in den Empfang von Newslettern) entfalten kann. Bitte wenden Sie sich diesbezüglich an datenschutz@axelspringer.de.