Microsoft hat am 31. März 2026 vor einer laufenden Social-Engineering-Kampagne gewarnt, die WhatsApp-Nachrichten als Angriffsvektor nutzt. Die Angreifer versenden Nachrichten mit Links zu bösartigen MSI-Installationspaketen.
Wie der Angriff funktioniert
Die Nachrichten tarnen sich als geschäftliche Kommunikation — Rechnungen, Vertragsunterlagen oder Einladungen. Der Link führt zu einem MSI-Paket, das nach der Installation eine Backdoor einrichtet. Die Pakete sind oft signiert oder nutzen Look-alike-Domainnamen, um legitim zu wirken.
Warum WhatsApp
WhatsApp wird in vielen Unternehmen — besonders im DACH-Raum — für geschäftliche Kommunikation genutzt, obwohl es dafür nicht vorgesehen ist. Die Ende-zu-Ende-Verschlüsselung bedeutet, dass Security-Tools den Inhalt der Nachrichten nicht scannen können. Für Angreifer ist das ideal: Der Kanal ist vertrauenswürdig und unsichtbar für die Unternehmens-Security.
Gegenmaßnahmen
Microsoft empfiehlt Mitarbeitertraining als primäre Abwehr. Technische Massnahmen: MSI-Installation auf verwalteten Geräten einschränken, Application Whitelisting, und WhatsApp-Links in MDM-Lösungen (Mobile Device Management) filtern, soweit möglich.
Quelle: Microsoft Security Blog (31.03.2026), The Register.