Stačí ho otevřít a útočník ovládne celý počítač. Kamarád přes WhatsApp pošle soubor, kterému věříte

Bezpečnostní firma Kaspersky odhalila rozsáhlou kampaň, při které útočníci rozesílají škodlivé přílohy z převzatých WhatsApp účtů reálných lidí. Stačí dvě kliknutí a počítač patří někomu jinému.

Zdroj fotografie: Pexels

Představte si situaci: v chatu na WhatsAppu vám přistane soubor. Odesílatel je kolega, kamarád, někdo z rodiny. Žádné podezřelé číslo, žádný cizinec, prostě člověk, kterého znáte. Soubor se tváří jako finanční výkaz nebo potvrzení platby. Stáhnete ho, otevřete. A v tu chvíli se na pozadí vašeho počítače rozběhne řetězec, na jehož konci má útočník plnou vzdálenou správu nad celým systémem. Přesně takhle funguje kampaň, kterou 22. června 2026 veřejně popsala Kaspersky Securelist.

Jak útok funguje krok za krokem

Kritický moment nenastává při přijetí zprávy. Samotné zobrazení chatu nic nespustí. Nebezpečí začíná ve chvíli, kdy uživatel přílohu stáhne a otevře, tedy dvě vědomé akce, které Kaspersky výslovně popisuje jako nutnou podmínku infekce.

Soubor má příponu .vbs nebo .vbe, jde o VBScript, tedy skriptový formát, který Windows umí rovnou spustit. Názvy příloh jsou volené tak, aby vypadaly jako běžné kancelářské dokumenty: „Financial Reports.vbs“, „Debt confirmation.vbs“, „Outstanding Payment List.vbs“ nebo „Account Statement.vbs“. Faktura, výpis, dluh. Přesně typ věci, kterou byste od známého člověka neváhali otevřít.

Po spuštění se aktivuje Windows Script Host (WScript.exe). První skript vytvoří pracovní složku v C:\Users\Public\Documents\, stáhne dva další VBScript payloady a spustí je. Jeden se pokouší upravit nastavení Řízení uživatelských účtů (UAC) přes systémový registr, aby se obešla bezpečnostní výzva. Druhý stáhne ZIP archiv, rozbalí ho a tiše nainstaluje software ManageEngine Endpoint Central přes systémový instalátor msiexec.exe. Celé to proběhne bez jediného viditelného okna.

Co znamená „ovládne celý počítač“

Endpoint Central není žádný temný hackerský nástroj. Je to legitimní podnikový software od ManageEngine, který firmy běžně používají k centrální správě počítačů: vzdálená podpora, instalace programů, inventarizace hardwaru i softwaru, sdílení plochy. Přesně proto je pro útočníka tak cenný.

Nasazený agent pravidelně komunikuje se serverem, od kterého přebírá úkoly. Útočník tak získá:

• Vzdálený přístup k ploše a souborům
• Možnost instalovat libovolný další software
• Přehled o celém systému (hardware, software, nastavení)
• Trvalé spojení, které přežije restart počítače

Nejde tedy o „firmware takeover“ ani o převzetí na úrovni BIOSu. Jde o plnohodnotnou vzdálenou správu na úrovni operačního systému, a to je pro běžného uživatele prakticky totéž jako ztráta kontroly nad počítačem. Navíc: protože Endpoint Central je legitimní nástroj, antivirové programy ho nemusí automaticky označit jako hrozbu. Agent v systému působí nenápadně, jako by ho nasadilo firemní IT oddělení.

Proč funguje důvěra v odesílatele

Nejsilnější zbraní celé kampaně není samotný malware. Je to sociální kapitál převzatého kontaktu.

Kaspersky potvrdil, že útočníci získali přístup k několika WhatsApp účtům a z jejich seznamů kontaktů pak hromadně rozesílali škodlivé přílohy. Zprávy přicházely z legitimních účtů reálných lidí, ne z podvržených čísel, ne z falešných profilů. V některých případech zpráva obsahovala jen samotnou přílohu bez jediného slova vysvětlení. Jeden kompromitovaný účet dokonce rozeslal stejný soubor více kontaktům najednou.

Přesný způsob, jakým útočníci účty převzali, zůstává neznámý; Kaspersky to výslovně uvádí. Meta letos v březnu zavedla varování před podvodným „device linking“, kdy se útočník snaží oběť přimět ke sdílení kódu nebo naskenování QR kódu, ale u této konkrétní kampaně to není potvrzený mechanismus.

Důležité je odlišit: end-to-end šifrování WhatsAppu nebylo prolomeno. Nejde o systémovou chybu platformy. Jde o kombinaci kompromitovaných účtů, sociálního inženýrství a spuštění skriptu ve Windows. WhatsApp letos sice přidal funkci „Strict Account Settings“, která umí blokovat přílohy od neznámých odesílatelů, jenže tady příloha přichází od známého kontaktu. Obrana naráží na svůj vlastní limit.

Koho se to týká a jak velké je riziko pro Čechy

Kampaň cílí primárně na uživatele WhatsApp Desktop a WhatsApp Web na Windows. Mezi oběma variantami je přitom rozdíl. U desktopové aplikace Kaspersky zaznamenal přímé spuštění VBScriptu z klienta; skript běží z úložiště příloh aplikace a uživatel zůstává v jednom rozhraní, což snižuje šanci, že si něčeho všimne. U webové verze se příloha nejdřív stáhne do složky Stažené soubory a uživatel ji musí otevřít ručně z průzkumníka. Obě cesty vedou ke stejnému výsledku, ale desktop je pro útočníka pohodlnější.

Ze zveřejněného seznamu zemí Kaspersky jmenuje Malajsii (80 % obětí), Brazílii, Indii, Mexiko, Singapur, Spojené království, Španělsko, Tchaj-wan, Austrálii, Rusko a Vietnam. Česká republika v tomto výčtu nefiguruje. Současně ale tisková zpráva Kaspersky mluví o širokém cílení „zejména napříč Evropou“ a jazykové varianty názvů souborů ukazují, že geografické omezení není úzké. Důvod k panice ne. Důvod k opatrnosti rozhodně ano.

Analytici Kaspersky navíc našli překryv infrastruktury s IP adresami dříve spojenými s aktivitou skupin ValleyRAT a Gh0st RAT, dlouhodobě známých nástrojů pro vzdálenou správu. V kombinaci s čínskými komentáři ve skriptech hodnotí s nízkou jistotou zapojení čínsky mluvícího operátora.

Jak se bránit, a co dělat, když jste soubor už otevřeli

Rozpoznat hrozbu před kliknutím je jednodušší, než se zdá. Stačí sledovat pět věcí:

• Přípona souboru: .vbs, .vbe, .exe, .bat, .cmd, .js nebo .ps1 nemá v běžné konverzaci co dělat
• Nesoulad názvu a typu: „Faktura“ s příponou .vbs místo PDF je jasný signál
• Příloha bez kontextu: žádný doprovodný text, žádné vysvětlení
• Finanční slovník: statement, payment, debt, report v názvu souboru
• Varování Windows: systém upozorní, že soubor přišel z internetu nebo z messaging aplikace

Pokud jste soubor už otevřeli, jednejte rychle. Odpojte počítač od internetu; agent komunikuje se serverem a přebírá úkoly, takže přerušení spojení je první priorita. Zkontrolujte, že máte zapnutou ochranu v reálném čase ve Windows Security. Spusťte kontrolu přes „Scan with Microsoft Defender“ a ideálně i offline kontrolu Microsoft Defender Offline. Pokud se hrozba vrací, Microsoft doporučuje zvážit obnovu systému z čisté zálohy.

Chcete vědět, jestli na vašem počítači neběží Endpoint Central agent bez vašeho vědomí? Hledejte procesy dcagentservice.exe, dcondemand.exe nebo dcagenttrayicon.exe ve Správci úloh. V registru zkontrolujte klíč HKEY_LOCAL_MACHINE\SOFTWARE\AdventNet\DesktopCentral\DCAgent. Pozor ale: na firemním počítači může být Endpoint Central legitimně nasazený vaším IT oddělením; samotná přítomnost ještě neznamená kompromitaci.

Celá kampaň stojí na jednom prostém předpokladu: že souboru od známého člověka důvěřujete víc než souboru od cizince. A přesně ten předpoklad je potřeba přestat brát jako samozřejmost.