Ukoliko vam neko preko WhatsAppa pošalje neočekivanu fakturu, bankovni izvod, uplatnicu ili opomenu za dug, nemojte to otvarati samo zato što je poruka stigla od nekoga koga poznajete. Istraživački tim kompanije Kaspersky (GReAT) otkrio je veliku kampanju širenja zlonamjernog softvera putem ove aplikacije, a trik je poražavajuće jednostavan: napadači koriste već kompromitovane WhatsApp račune, a zatim šalju zaražene priloge kontaktima vlasnika tog računa.

Na meti su korisnici WhatsApp Desktop i WhatsApp Web verzija, a zlonamjerne datoteke su VBScript prilozi koji mogu pokrenuti skripte na Windows računaru. Otvaranjem takve datoteke mašina počinje tiho preuzimati dodatne zlonamjerne komponente sa eksterne infrastrukture.

Kampanja je već zabilježena u više zemalja, uključujući Maleziju, Brazil, Singapur, Tajvan i Vijetnam. Prema riječima stručnjaka iz Kasperskyja, najveći broj žrtava je u Maleziji, dok upotreba više jezika u nazivima datoteka ukazuje na šire ciljanje, posebno u Evropi.

Nazivi datoteka su mamac. Kaspersky navodi da su prilozi maskirani kao uobičajeni poslovni dokumenti – fakture, bankovni izvodi, izvještaji o stanju računa, uplatnice i opomene. Pojedini nazivi lokalizirani su na engleski, portugalski, francuski, njemački i malajski jezik.

To je važno jer se ne radi o nasumičnim porukama tipa “kliknite i osvojite nagradu”. One izgledaju dosadno na potpuno isti način na koji izgledaju radni dokumenti, a upravo ih ta dosadnost čini opasnima.

Fareed Radzi, sigurnosni istraživač u Kaspersky GReAT-u, izjavio je: “U ovoj kampanji napadači zloupotrebljavaju povjerenje unutar platformi za razmjenu poruka koristeći kompromitovane WhatsApp račune za isporuku zlonamjernih priloga koji izgledaju kao da dolaze od poznatih kontakata, što značajno povećava vjerovatnoću da će ih primalac otvoriti. Nazivi datoteka pažljivo su maskirani kao rutinski poslovni dokumenti, poput faktura i uplatnica, i lokalizirani na više jezika radi šireg ciljanja. Nakon otvaranja, pokreće se višestepeni lanac infekcije koji tiho preuzima i izvršava dodatne zlonamjerne komponente sa eksterne infrastrukture.”

Lanac napada nije spektakularan, ali je efikasan. Nakon otvaranja datoteke, skripta kreira radni direktorijum u C:UsersPublicDocuments, preuzima dodatne skripte i pokreće ih putem Windows Script Host-a. Potom se preuzima komprimovana arhiva koja sadrži instalacioni program za softver za daljinsko praćenje i upravljanje.

To je glavni problem. Alati za daljinsko praćenje i upravljanje nisu sami po sebi zlonamjerni – IT timovi ih koriste za legitimnu podršku i upravljanje uređajima. Ali u pogrešnim rukama, ista ideja postaje jednostavan način da napadači dobiju daljinski pristup i kontrolu.

Zbog toga se korisnici WhatsAppa ne bi trebali oslanjati na provjeru “ali došlo je od nekoga koga poznajem”. Kompromitovani račun može učiniti da zlonamjerna poruka izgleda lično, pouzdano i obično. Napadač ne mora uvjeravati stranca – oni samo posuđuju nečiji identitet i prepuštaju poznavanju da obavi posao.

Ovdje se vidi poznati obrazac. Prevare na WhatsAppu često su se oslanjale na pouzdane kontakte, hitne poruke i datoteke koje izgledaju službeno. U Singapuru je policija ranije upozoravala na malver prevare putem phishing linkova na WhatsAppu, gdje su žrtve nagovorene da instaliraju zlonamjerne aplikacije. Nezavisno od toga, Microsoft je također prijavio kampanju malvera na WhatsAppu 2026. godine koja je koristila Visual Basic Script datoteke za započinjanje višestepene infekcije i omogućavanje daljinskog pristupa.

Ovo je posebno važno za mala preduzeća, freelancere, finansijske timove, prodajne timove i sve koji redovno primaju fakture, izvode ili uplatnice putem chat aplikacija. Ako je WhatsApp dio načina na koji vaš ured funkcioniše, ovo je vrsta prevare koja se uvlači u svakodnevicu ne izgledajući dramatično.

Savjeti za zaštitu su jednostavni, ali ih vrijedi ponoviti: ne otvarajte neočekivane priloge na WhatsAppu, čak i ako izgledaju kao da dolaze od poznanika; budite posebno oprezni sa skriptama i izvršnim datotekama (.vbs, .vbe, .exe, .bat, .cmd, .js, .ps1); provjerite sumnjive fakture, izvode ili uplatnice putem drugog kanala prije otvaranja; prema poznatim kontaktima postupajte s oprezom ako poruka djeluje čudno; držite sigurnosni softver aktivnim na računarima i mobilnim uređajima; redovno ažurirajte Windows, pregledače i aplikacije za razmjenu poruka; izbjegavajte korištenje WhatsAppa kao sistema za upravljanje dokumentima za osjetljive datoteke; za preduzeća – blokirajte izvršavanje skripti tamo gdje nije potrebno i obučite osoblje da prepozna rizične tipove datoteka.

WhatsApp i sam savjetuje korisnike da pažljivo pregledaju linkove i datoteke prije otvaranja, jer nešto može izgledati legitimno na prvi pogled, a opet biti zlonamjerno. Praktična pouka je sljedeća: fakture i uplatnice sada su dio kostima prevaranata. Ako datoteka stigne niotkuda, posebno putem WhatsApp Desktop ili WhatsApp Web, zastanite prije klika.