Последние две недели пользователи WhatsApp Web находятся под прицелом масштабной хакерской атаки. Злоумышленники рассылают вредоносные VBS-скрипты, которые искусно маскируются под обычные установщики программ. Стоит запустить такой файл, и вирус начинает тихую экспансию, постепенно захватывая полный контроль над операционной системой.
Механика заражения и обход защиты
Схема взлома, выявленная экспертами по кибербезопасности, начинается с неосторожного скачивания файла через браузерную версию мессенджера. Сразу после запуска скрипт создает скрытые папки в системной директории ProgramData и размещает там переименованные копии стандартных утилит Windows. Например, привычный curl.exe превращается в netapi.dll, а bitsadmin.exe — в sc.exe. Чтобы докачать основные модули вируса, хакеры используют мощности облачных хранилищ.
Главное оружие этой кампании — скрытность. Большинство антивирусов не видят угрозы в первичных действиях скрипта, так как они выглядят как рутинные процессы. Вирус буквально берет пользователя измором: он может днями закидывать систему запросами на повышение прав, рассчитывая на привычку людей машинально подтверждать всплывающие окна UAC. Программа раз за разом пытается запустить командную строку с правами администратора, пока не добьется успеха или пока процесс не будет прерван вручную.
Последствия и удаленный доступ
Как только барьер контроля учетных записей преодолен, вредонос модифицирует реестр Windows. Теперь инфекция не боится перезагрузки и прочно закрепляется в системе. Это открывает хакерам «черный ход» для установки любого ПО, включая легитимные инструменты удаленного администрирования вроде AnyDesk.
В итоге компьютер превращается в послушную марионетку. Получив удаленный доступ, злоумышленники могут включить устройство в ботнет для организации атак, похитить конфиденциальные данные или зашифровать файлы с целью выкупа.
Методы проверки системы
Для тех, кто опасается последствий случайного клика, разработчики подготовили специальный инструмент проверки. В открытых репозиториях опубликован PowerShell-скрипт, который сканирует систему на наличие специфических папок и записей в реестре, характерных для этой атаки. Утилита требует прав администратора и постоянно дорабатывается сообществом на основе новых данных об угрозе. Это простой способ развеять сомнения и убедиться, что вирус не успел пустить корни в системе.
