Microsoft ostrzega przed malware VBS na WhatsApp, który przejmuje Windows przez bypass UAC

Krajobraz cyberzagrożeń w 2026 roku przeszedł drastyczną ewolucję, a granica między komunikacją prywatną a korporacyjną niemal całkowicie się zatarła. Microsoft wydał właśnie krytyczne ostrzeżenie dotyczące nowej, wyrafinowanej kampanii złośliwego oprogramowania, która wykorzystuje popularny komunikator WhatsApp jako główny wektor ataku. Incydenty odnotowane pod koniec lutego 2026 roku wskazują na powrót do klasycznych, ale niezwykle skutecznych metod infekcji opartych na skryptach, które tym razem potrafią bezszelestnie ominąć mechanizmy obronne systemu operacyjnego.

Atak opiera się na dystrybucji złośliwych plików Visual Basic Script (VBS), które po uruchomieniu przez nieświadomego użytkownika inicjują wieloetapowy proces infekcji. To, co wyróżnia tę operację na tle innych, to precyzyjne wykorzystanie luki w zabezpieczeniach User Account Control (UAC). Dzięki obejściu tego mechanizmu, napastnicy są w stanie uzyskać uprawnienia administracyjne bez wyświetlania standardowego okna dialogowego z prośbą o potwierdzenie akcji, co czyni atak niemal niewidocznym dla przeciętnego użytkownika systemu Windows.

Mechanizm infekcji przez komunikatory natychmiastowe

Wykorzystanie WhatsApp jako platformy dostawczej nie jest przypadkowe. W środowisku, gdzie poczta e-mail jest nasycona filtrami antyspamowymi i systemami klasy EDR, komunikatory mobilne i desktopowe pozostają relatywnie słabo monitorowanym kanałem. Choć Microsoft nie ujawnił jeszcze dokładnej treści przynęty (lures) stosowanej przez hakerów, schemat działania jest jasny: użytkownik otrzymuje wiadomość, która skłania go do pobrania i otwarcia załącznika lub kliknięcia w link prowadzący do pliku VBS.

Po aktywacji skryptu, system zostaje poddany wielostopniowej procedurze, która ma na celu ustanowienie tzw. persistence, czyli trwałej obecności w zainfekowanym środowisku. Oznacza to, że złośliwy kod potrafi przetrwać restart komputera, ukrywając się w rejestrze systemowym lub zadaniach harmonogramu. Kluczowym celem atakujących jest jednak umożliwienie remote access (zdalnego dostępu), co otwiera drogę do pełnej eksfiltracji danych lub wdrożenia oprogramowania typu ransomware.

• VBS Malware: Wykorzystanie skryptów Visual Basic do automatyzacji procesów ataku.
• UAC Bypass: Ominięcie Kontroli Konta Użytkownika w celu uzyskania wysokich uprawnień.
• WhatsApp Delivery: Wykorzystanie szyfrowanego komunikatora do ominięcia bramek bezpieczeństwa e-mail.
• Multi-stage Infection: Złożona struktura ataku utrudniająca detekcję przez antywirusy.

Rola AI w skracaniu czasu reakcji człowieka

Według raportu Zscaler ThreatLabz 2026 VPN Risk Report, opracowanego wspólnie z Cybersecurity Insiders, obecność sztucznej inteligencji w arsenale cyberprzestępców drastycznie zmieniła dynamikę starć w cyberprzestrzeni. AI "zwinęła" (collapsed) okno czasowe, w którym człowiek jest w stanie zarezerwować reakcję na incydent. W świecie, gdzie skrypty generowane przez modele językowe potrafią adaptować się do środowiska ofiary w czasie rzeczywistym, tradycyjne metody obrony stają się niewystarczające.

Analiza Zscaler wskazuje, że zdalny dostęp stał się najszybszą ścieżką do naruszenia bezpieczeństwa danych (fastest path to breach). W kontekście kampanii wykrytej przez Microsoft, uzyskany przez UAC Bypass dostęp administracyjny pozwala napastnikom na poruszanie się wewnątrz sieci korporacyjnej z prędkością, która wyklucza manualną interwencję administratorów IT. Złośliwe pliki VBS są jedynie kluczem do drzwi, które po otwarciu pozwalają na błyskawiczne przejęcie infrastruktury.

Warto zwrócić uwagę na fakt, że technika UAC Bypass nie jest nowa, jednak jej implementacja w formie skryptu VBS dostarczanego przez WhatsApp świadczy o wysokim stopniu optymalizacji ataku pod kątem psychologii użytkownika końcowego. Ludzie podświadomie ufają wiadomościom otrzymywanym na platformach mobilnych bardziej niż tym w skrzynce e-mail, co czyni ten wektor wyjątkowo groźnym w erze pracy hybrydowej.

Zagrożenie dla infrastruktury opartej na VPN

Raport Zscaler ThreatLabz rzuca również światło na słabości systemów VPN w starciu z nowoczesnym złośliwym oprogramowaniem. Gdy malware uzyska uprawnienia administracyjne na stacji roboczej, każda ustanowiona sesja VPN staje się mostem, przez który infekcja może rozprzestrzenić się na zasoby chmurowe i serwery wewnętrzne firmy. Zjawisko to jest szczególnie niebezpieczne, gdy napastnicy wykorzystują remote access do kopiowania danych uwierzytelniających (credentials) bezpośrednio z pamięci systemu.

"AI drastycznie skróciło czas potrzebny na przeprowadzenie ataku, czyniąc zdalny dostęp najskuteczniejszą bronią w rękach hakerów." – Zscaler ThreatLabz 2026 VPN Risk Report.

Infrastruktura bezpieczeństwa musi ewoluować w stronę modeli Zero Trust, gdzie samo urządzenie i sesja komunikatora nie są uznawane za godne zaufania tylko dlatego, że znajdują się wewnątrz firmowego ekosystemu. Przypadek kampanii WhatsApp-VBS pokazuje, że nawet najbardziej zaawansowane systemy operacyjne, takie jak Windows, mają punkty styku, które przy odpowiedniej socjotechnice mogą stać się piętą achillesową całej organizacji.

Skuteczność tej kampanii opiera się na prostocie: pliki VBS są natywnie obsługiwane przez system Windows, co eliminuje potrzebę pobierania dodatkowych bibliotek czy skomplikowanych loaderów w pierwszej fazie ataku. To podejście typu "living off the land" (LotL) sprawia, że aktywność ta często umyka prostym skanerom sygnaturowym, które skupiają się na wykrywaniu znanych plików wykonywalnych .exe.

Nowa era walki z cieniem

Kampania wykryta przez Microsoft pod koniec lutego 2026 roku to sygnał alarmowy dla działów bezpieczeństwa na całym świecie. Atakujący przestali polegać na masowych wysyłkach, wybierając bardziej bezpośrednie i intymne kanały komunikacji, takie jak WhatsApp. Integracja złośliwych skryptów VBS z technikami UAC Bypass pozwala im na ominięcie fundamentalnych barier bezpieczeństwa systemu Windows, co w połączeniu z automatyzacją napędzaną przez AI, tworzy mieszankę wybuchową.

Kluczowym wyzwaniem dla organizacji będzie teraz wdrożenie systemów zdolnych do analizy behawioralnej skryptów w czasie rzeczywistym oraz rygorystyczne podejście do polityki zarządzania uprawnieniami. Skoro remote access stał się najszybszą drogą do wycieku danych, priorytetem musi stać się izolacja procesów i monitorowanie nietypowych aktywności pochodzących z aplikacji komunikacyjnych, które do tej pory traktowano jako narzędzia niskiego ryzyka. Era, w której wystarczyło zabezpieczyć e-mail i firewall, definitywnie się skończyła.