Если вам в WhatsApp пришёл файл с названием вроде «счёт», «акт» или «уведомление» — даже от знакомого человека — не спешите его открывать. Специалисты «Лаборатории Касперского» описали активную вредоносную кампанию: через взломанные аккаунты злоумышленники рассылают контактам жертвы вредоносные скрипты под видом деловых документов. При запуске на компьютере такой файл отключает защиту Windows и открывает посторонним удалённый доступ к ПК. Среди стран, где зафиксированы заражения, названа и Россия.
Как устроена атака
Вредонос распространяется в виде сильно запутанных файлов с расширением .vbs — это скрипт для Windows. Поскольку сообщение приходит от реального контакта, чей аккаунт уже взломан, доверия к нему больше, чем к обычной спам-рассылке. Файлы маскируют под финансовые документы и называют на разных языках — «billing statement», «счёт», «уведомление о платеже».
Как сообщает BleepingComputer, при открытии такого файла на Windows-ПК запускается цепочка: скрипт подгружает дополнительные модули, через реестр отключает контроль учётных записей (UAC), а затем тихо устанавливает ManageEngine Endpoint Central — легальную программу для удалённого администрирования. После установки она подключается к серверам злоумышленников, и те получают полный доступ к компьютеру.
Чем опасен WhatsApp на компьютере
Ключевой нюанс — где именно открывается файл. В веб-версии WhatsApp вложение нужно сначала скачать и запустить вручную. А вот десктопное приложение WhatsApp может выполнить скрипт напрямую через Windows Script Host, поэтому один неосторожный двойной клик опаснее, чем кажется. На смартфоне сам .vbs не запустится, но переслать заражённый файл дальше — на свой же ПК или коллеге — легко, и тогда заражение продолжит расходиться по списку контактов.
Что делать, чтобы не пострадать
- Не открывайте файлы-вложения из чатов, даже от знакомых, пока не уточните у отправителя по другому каналу (звонок, СМС), что он действительно это присылал.
- Особенно настороженно относитесь к расширениям .vbs, .js, .bat, .exe, .scr — у обычных документов их не бывает.
- Не выполняйте инструкции, которые просят отключить защиту, контроль учётных записей или ввести пароль администратора.
- Если файл уже открыт — отключите компьютер от интернета, проверьте систему антивирусом и смените пароли важных аккаунтов с другого устройства.
Похожие схемы — с маскировкой вредоноса под безобидную ссылку или файл — встречаются всё чаще: ранее мошенники распространяли вирусы через поддельные ссылки на ChatGPT и рассылали письма от имени microsoftonline. Принцип защиты один: любой неожиданный файл или просьба «срочно открыть документ» — повод остановиться и проверить.




