Über WhatsApp verteilte Schadsoftware kann Systeme unter Windows dauerhaft schwächen

von

Worum geht es?

Seit Ende Februar 2026 warnt Microsoft vor einer neuen Schadsoftware-Kampagne, die gezielt WhatsApp-Nutzer auf Windows-Computern angreift. Die Angreifer verbreiten schädliche Skript-Dateien* über WhatsApp-Nachrichten. Diese Skripte starten eine mehrstufige Infektion, um sich dauerhaft im System festzusetzen. Der Schädling ist somit persistent, d.h., er bleibt auch nach einem Neustart des Computers aktiv und soll Zugriffe von anderen Rechnern (Fernzugriff) ermöglichen. Die Schadsoftware verändert Systemeinstellungen, manipuliert die Windows-Registrierung  und schwächt die Benutzerkontensteuerung (Sicherheitsmechanismus, der Nutzer vor unbemerkten Änderungen am System schützen soll) ab. Die Warnung wurde von mehreren IT-Sicherheitsportalen bestätigt.

*= Visual Basic Script-Dateien (VBS-Dateien) können  automatisch Abläufe auf dem Computer ausführen

Warum sind Windows-Systeme betroffen?

WhatsApp bietet seit einiger Zeit auch eine Desktop-Version für Windows (und macOS) an, die mit dem Smartphone verknüpft wird. Die aktuelle Kampagne nutzt genau diese Windows-Version von WhatsApp als Einfallstor: Nutzer erhalten über WhatsApp auf dem Smartphone eine Nachricht mit einem schädlichen Anhang oder Link. Wird dieser auf dem Computer geöffnet – etwa weil die Nachricht auch in der WhatsApp-Desktop-App angezeigt wird oder der Anhang per E-Mail/Cloud weitergeleitet wird – kann die Schadsoftware das Windows-System infizieren. Betriebssysteme auf Mobilgeräten (Android oder Apple  iOS / iPadOS) sind von dieser spezifischen Kampagne nicht direkt betroffen, da die verwendeten VBS-Skripte nur unter Windows lauffähig sind. Allerdings sind mobile Geräte durch andere Arten von Schadsoftware gefährdet, die über Messenger verbreitet werden.

Schon 2025 gab es mit „SORVEPOTEL“ eine ähnliche Kampagne, die vor allem in Brasilien Windows-Systeme über WhatsApp angriff. WhatsApp war in der Vergangenheit immer wieder Ziel von Betrugsversuchen, etwa durch gefälschte Support-Nachrichten oder manipulierte Dateianhänge.

Angriffe über andere Messenger-Dienste

Andere Messenger, wie Signal oder Telegram, waren in der Vergangenheit zwar auch Ziel von Angriffen. Dabei handelte es sich zumeist um „Trojanische Pferde“, die auf den befallenen Mobilgeräten Schaden anrichten sollten. Eine derartig weitreichende schädliche Wirkung, die auch auf die hohe Zahl von Windows-Systemen, deren oft unzulänglicher Schutz sowie auf die Vielzahl von WhatsApp-Nutzern zurückzuführen ist, trat bislang aber nicht ein.

Außerdem gibt es immer wieder Angriffe, bei denen keine Schadsoftware zum Einsatz kommt, sondern mittels Phishing Nutzer von Messengerdiensten getäuscht werden, um Zugriff auf Einzel- und Gruppenchats sowie auf Kontaktlisten zu erhalten. Bislang sind diesbezüglich Angriffsvarianten bekannt geworden, bei denen sich die Angreifer entweder als Support-Mitarbeiter ausgeben oder aber unbemerkt ein weiteres Mobilgerät koppeln, das die gleichen Nutzungs- und Zugriffsrechte wie das Originalgerät des Opfers besitzt.

Wie können sich Nutzer von Messengerdiensten schützen?

Mobilfunknummer schützen

Mobiltelefonnummern gehören zu den größten Schwachstellen bei Messengerdiensten, weil sie weltweit einmalig sind und oft als alleiniger Identifikator für die Registrierung dienen. Sie sind ein beliebtes Ziel für Identitätsdiebstahl – etwa durch SIM-Swapping (das Übernehmen einer Nummer durch Betrüger) oder das Abfangen von SMS-Bestätigungscodes. Zudem lässt sich eine Telefonnummer kaum anonymisieren oder durch Aliase ersetzen, was Nutzer leicht angreifbar macht. Da (immer noch zu) viele Dienste die Nummer auch für Passwort-Reset oder Zwei-Faktor-Authentifizierung nutzen, wird sie zum zentralen Angriffsvektor für Account-Übernahmen, Spam und gezielte Phishing-Angriffe.

Die Mobilfunknummer sollte nur bei vertrauenswürdigen Diensten und nur dann angegeben werden, wenn sie für den Betrieb einer Anwendung oder die Nutzung eines Dienstes wirklich erforderlich ist. Eigentlich müsste es heute Standard sein, dass digitale Dienste auf die Abfrage der Telefonnummer verzichten – soweit sie nicht für den ursprünglichen Zweck, dem Telefonieren im Mobilfunknetz, verwendet wird.

Es sollte auch kritisch hinterfragt werden, ob und inwieweit der Abgleich der Kontakte mit dem Dienstebetreiber wirklich erforderlich oder rechtlich zulässig ist. WhatsApp verwendet in seinen Nutzungsbestimmungen diesbezüglich nicht umsonst die Formulierung „Falls nach geltenden Gesetzen zulässig, kannst du die Funktion zum Hochladen von Kontakten nutzen und …“. Das Bundeskartellamt hat sich bereits 2023 hierzu kritisch (und ablehnend) geäußert.

Vertrauenswürdige Messenger, wie Threema, Wire oder Signal (und einige andere) erlauben die Verwendung anderer Adressen als Mobiltelefonnummern.

Allgemeine Sicherheitsregeln umsetzen

Vorsicht bei Anhängen und Links

Öffnen Sie keine Dateien oder Links aus unbekannten Quellen – auch nicht von scheinbar bekannten Kontakten, wenn die Nachricht verdächtig wirkt.

Berechtigungen prüfen

Installieren Sie nur Apps aus vertrauenswürdigen Quellen (z. B. offizielle App-Stores) und kontrollieren Sie regelmäßig, welche Berechtigungen Messenger-Apps haben.

Updates durchführen

Halten Sie Betriebssystem und Apps immer auf dem neuesten Stand, um Sicherheitslücken zu schließen.

Zwei-Faktor-Authentifizierung (2FA) aktivieren

Das erschwert Angreifern den Zugriff auf Ihre Konten.

Sensibilisierung

Seien Sie skeptisch bei unerwarteten Nachrichten, selbst wenn sie von bekannten Kontakten stammen. Betrüger nutzen oft Social-Engineering-Tricks (psychologische Manipulation), um Nutzer zu täuschen.

Sicherheitssoftware nutzen

Auf Windows-Computern kann das Deaktivieren von Skript-Sprachen wie VBS und der Einsatz von Antiviren-Programmen helfen. Auf Android schützt Google Play Protect vor vielen schädlichen Apps.

Quellen: