Свіжий звіт Securelist описує активну кампанію у WhatsApp, де зловмисники надсилають шкідливі Visual Basic Script-файли під виглядом рахунків, виписок, боргових повідомлень або інших бізнес-документів. Небезпека не в самому перегляді чату, а у відкритті завантаженого .vbs-вкладення на Windows-ПК: скрипт запускає багатоступеневий ланцюг і може встановити легітимний агент віддаленого моніторингу та керування для доступу зловмисника [1].
Це особливо важливо для тих, хто використовує WhatsApp Desktop або WhatsApp Web для робочого листування. Файл може прийти від знайомого контакту, бо у звіті описані ознаки використання скомпрометованих WhatsApp-акаунтів для розсилки однакового вкладення списку контактів. Ім’я знайомого відправника саме по собі не робить файл безпечним.
Що показав звіт
У первинному звіті описано жертв у Малайзії, Бразилії, Індії, Мексиці, Сінгапурі, Великій Британії, Іспанії, Тайвані, Австралії, Росії та В’єтнамі, причому найбільша концентрація спостерігалася у Малайзії. На момент публікації звіту 22 червня 2026 року кампанія залишалася активною.
| Ознака | Чому це важливо |
|---|---|
Назви файлів на кшталт рахунків, боргових повідомлень, виписок або форм із розширенням .vbs | Приманка виглядає як звичайний бізнес-документ, але використовує скриптовий тип файлу, який не потрібен для нормального обміну документами. |
| Завантаження через WhatsApp Desktop або Web, а потім ручне відкриття | Перший клік лише завантажує файл; друга дія користувача запускає його через Windows Script Host. |
WScript.exe запускається з папки вкладень WhatsApp | Це сильна локальна ознака для перевірки після відкриття підозрілого вкладення. |
| На ПК несподівано з’являється ПЗ віддаленого моніторингу або підтримки | Легітимні RMM-інструменти стають небезпечними, якщо їх встановив шкідливий скрипт. |
Кому потрібно діяти
Перевірте систему, якщо ви відкривали у WhatsApp файл із розширенням .vbs, .vbe, .js, .ps1, .bat, .cmd або .exe, особливо коли повідомлення не мало пояснення або виглядало як фінансовий документ. Також поставтеся до ситуації серйозно, якщо контакт повідомив, що ваш акаунт сам розіслав подібні файли.
Не покладайтеся лише на те, що відправник знайомий. У цій кампанії доставка працює саме через довіру до списку контактів. Власні рекомендації WhatsApp також радять обережно ставитися до підозрілих файлів і перевіряти пов’язані пристрої, якщо є ознаки зловживання акаунтом [2] [3].
Що перевірити у Windows
- Від’єднайте ПК від мережі, якщо ви щойно запустили скрипт і бачите вікна віддаленого доступу, нові утиліти підтримки або незвичні командні вікна.
- Знайдіть завантажене вкладення у папках передач WhatsApp Desktop і звичайних папках завантажень. Запишіть назву файлу, але не відкривайте його повторно.
- Перевірте Диспетчер завдань і список встановлених програм на наявність несподіваного ПЗ віддаленої підтримки або керування.
- Перегляньте автозапуск, заплановані завдання та нещодавні файли за часом відкриття вкладення. Видимий RMM-агент може бути не єдиним механізмом закріплення.
- З телефона відкрийте пов’язані пристрої WhatsApp і вийдіть із сесій, які не впізнаєте.
- Попередьте контакт, від якого прийшов файл, через інший канал. Його WhatsApp-акаунт міг бути використаний без ручного надсилання.
- Після очищення ПК змініть паролі до важливих акаунтів, якими користувалися на цьому комп’ютері: пошта, робочі сервіси, банкінг і месенджери.
Проскануйте ПК перед подальшою роботою
Якщо .vbs-файл запускався, видалення однієї видимої програми не доводить, що система чиста. Скриптовий ланцюг може залишити файли, записи автозапуску, заплановані завдання, браузерні зміни або конфігурацію віддаленого доступу. Запустіть повне сканування, видаліть знайдені загрози, перезавантажте ПК і повторіть перевірку, якщо попередження або підказки віддаленого доступу повертаються.
Gridinsoft Anti-Malware може перевірити приховані файли, підозрілі записи автозапуску, завантажені модулі та сліди закріплення після інциденту з WhatsApp-вкладенням. Завантажити сканер можна на сторінці Gridinsoft Anti-Malware.
Як не потрапити на цей варіант атаки
- Не відкривайте скриптові файли з чатів, навіть якщо вони названі як рахунок або банківська виписка.
- Увімкніть показ розширень файлів у Провіднику Windows, щоб
Invoice.pdf.vbsне виглядав як PDF. - Підтверджуйте несподівані робочі документи через інший канал перед відкриттям.
- Оновлюйте WhatsApp Desktop, Windows, браузери та захисні інструменти.
- Використовуйте функції скарги/блокування WhatsApp для підозрілих повідомлень і регулярно перевіряйте пов’язані пристрої.
FAQ
Чи може WhatsApp-повідомлення саме заразити ПК?
У цій кампанії головний ризик не в попередньому перегляді повідомлення. Небезпека починається, коли вкладення завантажили й користувач відкрив .vbs-файл у Windows.
Чому .vbs-файл підозрілий?
.vbs – це скрипт, а не нормальний формат рахунку або банківської виписки. Бізнес-документи зазвичай надходять як PDF, DOCX, XLSX або через відомий корпоративний портал, і навіть їх варто перевіряти, якщо вони неочікувані.
Чи треба видаляти ManageEngine, якщо він з’явився на ПК?
На робочому пристрої не видаляйте докази самостійно, спочатку зверніться до IT. На особистому ПК несподіваний агент віддаленого керування після відкриття WhatsApp-скрипта є підозрілим, але разом із видаленням перевірте автозапуск і можливі сліди закріплення.
Що робити, якщо мій WhatsApp розіслав файл контактам?
Перевірте пов’язані пристрої, вийдіть із невідомих сесій, увімкніть двоетапну перевірку й попередьте нещодавні контакти через інший канал. Потім перевірте Windows-ПК, з якого використовувався WhatsApp Desktop або Web.
Джерела
- Fareed Radzi, “A VBScript campaign distributed through WhatsApp deploying RMM software,” Securelist, опубліковано 22 червня 2026, дата звернення 23 червня 2026. https://securelist.com/whatsapp-vbs-rmm-campaign/120290/
- WhatsApp Help Center, “About suspicious files,” WhatsApp, дата звернення 23 червня 2026. https://faq.whatsapp.com/667552568038157
- WhatsApp Help Center, “How to unlink a device,” WhatsApp, дата звернення 23 червня 2026. https://faq.whatsapp.com/834124628020911
