Přes WhatsApp se šíří nový virus, který útočníkům umožní ovládnout počítač s Windows

Stačí dva kliky na přílohu od známého kontaktu a útočník získá plnou vzdálenou správu nad vaším počítačem. Kampaň je aktivní právě teď.

Zdroj fotografie: Pexels

Bezpečnostní analytici Kaspersky zveřejnili 22. června 2026 rozbor rozsáhlé malwarové kampaně, která k šíření škodlivých příloh využívá WhatsApp Desktop a WhatsApp Web na Windows. Nejde o klasický „virus“ v tradičním slova smyslu ani o bezpečnostní díru v samotném WhatsAppu. Jde o promyšlený útok, ve kterém se z kompromitovaných účtů reálných lidí rozesílají skriptové soubory maskované jako finanční dokumenty. Příloha dorazí od člověka, kterého znáte. Žádný podezřelý odkaz, žádný doprovodný text, jen soubor. A právě ta důvěra je zbraň.

Jak útok funguje krok za krokem

Celý řetězec začíná jednoduše. Oběť dostane přes WhatsApp přílohu s příponou .vbs nebo .vbe, typicky pojmenovanou jako bankovní výpis, vyúčtování nebo dluhový dokument. Název bývá lokalizovaný do jazyka cílové země. Pouhé zobrazení zprávy v chatu nic nespustí. Aby se útok rozběhl, musí uživatel provést dvě věci: stáhnout přílohu a poté ji otevřít.

Na WhatsApp Desktop stačí kliknout přímo v aplikaci. U WhatsApp Web je třeba soubor najít ve složce stažených souborů a spustit ho ručně. V obou případech se soubor předá systémovému nástroji wscript.exe, tedy Windows Script Host, který VBScript vykoná. Právě proto se kampaň týká výhradně Windows, na macOS, Linuxu ani na mobilních systémech tento mechanismus nefunguje.

Po spuštění skript stáhne další komponenty, pokusí se upravit klíč registru ConsentPromptBehaviorAdmin, čímž oslabí ochranné výzvy UAC (User Account Control), a usiluje o získání administrátorských oprávnění. Finálním krokem je tichá instalace agenta ManageEngine Endpoint Central napojeného na server útočníka.

Co znamená „ovládnout počítač“

Endpoint Central není žádný exotický trojský kůň. Je to legitimní komerční nástroj, který tisíce firem po celém světě používají ke správě svých počítačů. Právě v tom spočívá zákeřnost. Jakmile se agent usadí v systému, útočník přes něj může:

• navázat vzdálenou relaci a vidět obrazovku oběti v reálném čase,
• přenášet soubory oběma směry,
• spouštět systémové nástroje a příkazy,
• zamknout klávesnici i myš,
• restartovat nebo vypnout počítač,
• udržovat trvalé spojení se svým serverem.

Agent komunikuje se serverem při každém startu počítače, při přihlášení uživatele a poté v pravidelných 90minutových cyklech. Nejde tedy o jednorázový průnik, útočník získává dlouhodobý administrátorský přístup, který na první pohled vypadá jako běžná firemní správa. Antivirový software ho nemusí označit za hrozbu, protože technicky jde o legitimní software.

Proč je kampaň tak nebezpečná

Podle nás je nejzrádnější kombinace dvou faktorů, které běžný uživatel těžko prohlédne. Za prvé: zpráva přichází od reálného kontaktu. Útočníci operují z kompromitovaných WhatsApp účtů skutečných lidí a rozesílají přílohy jejich kontaktům. Jak přesně se k účtům dostali, Securelist v době publikace analýzy nezjistil. Za druhé: finální nástroj není klasický malware, ale certifikovaný software pro vzdálenou správu. Bezpečnostní řešení ho proto nemusí automaticky zablokovat.

Microsoft už 31. března 2026 popsal jinou kampaň využívající WhatsApp k doručování VBScript souborů, která končila instalací AnyDesk a škodlivých MSI balíčků. Červnová vlna je tedy pokračováním trendu; zneužívání WhatsAppu jako doručovací vrstvy pro windowsové skripty není v roce 2026 ojedinělý incident.

Koho se to týká a jak je na tom Česko

Kaspersky eviduje oběti v jedenácti zemích. Osmdesát procent případů připadá na Malajsii, ale zasaženy byly i Brazílie, Indie, Mexiko, Singapur, Británie, Španělsko, Tchaj-wan, Austrálie, Rusko a Vietnam. Česká republika ani žádný středoevropský stát v seznamu nefigurují. Ve veřejných přehledech CSIRT.CZ ani v posledním dostupném měsíčním hlášení NÚKIB jsme k této kampani nenašli potvrzený český případ ani samostatné varování.

To ale neznamená bezpečí. Kampaň je široká a oportunistická, názvy souborů jsou lokalizované do více jazyků a šíření závisí na kontaktních seznamech kompromitovaných účtů. Pokud má český uživatel v kontaktech někoho ze zasažených zemí, a to při dnešní míře mezinárodní komunikace není nic výjimečného, riziko existuje. Rozhodující kombinace je prostá: Windows + WhatsApp Desktop nebo Web + spuštění přílohy.

Co udělat hned

Praktická obrana nevyžaduje technické znalosti, jen disciplínu:

• Nikdy neotevírejte skriptové a spustitelné přílohy z WhatsAppu; přípony .vbs, .vbe, .exe, .bat, .cmd, .js, .ps1 nemají v běžné komunikaci co dělat.
• Ověřte si odesílatele jiným kanálem. Zavolejte, napište SMS, použijte jiný messenger. Pokud kontakt o příloze neví, jeho účet je pravděpodobně kompromitovaný.
• Mějte aktualizovaný antivir a operační systém. Detekční pravidla se průběžně doplňují.
• Ve firmách sledujte neautorizované instalace nástrojů vzdálené správy. Nečekaný agent Endpoint Central na stanici, kde nemá co dělat, je varovný signál.
• Pokud jste přílohu už otevřeli, berte zařízení jako kompromitované. Odpojte internet, na firemním počítači kontaktujte IT oddělení, z čistého zařízení změňte hesla ke všem účtům používaným na napadeném stroji a nechte systém odborně zkontrolovat.

Kampaň je podle Kaspersky v době publikace stále aktivní. Nejúčinnější ochranou zůstává to nejjednodušší: nespouštět soubory, o které jste nežádali, i když přicházejí od lidí, kterým důvěřujete.