微软研究人员于本周二发出警告,称一起始于2月下旬的复杂网络攻击活动正利用 WhatsApp 消息向用户分发恶意微软安装程序(MSI)包。该攻击链通过诱导用户执行恶意 Visual Basic 脚本(VBS)文件,最终允许犯罪分子远程控制受害者的计算机并访问其全部数据。
利用合法工具掩盖攻击路径
根据 The Register 报道,攻击者采用了所谓的“离地攻击”(Living off the Land)策略,即利用系统自带的合法工具来规避安全检测。恶意脚本在受害者系统中创建隐藏文件夹,并将 curl.exe 和 bitsadmin.exe 等合法 Windows 实用程序重命名为伪装文件,例如 netapi.dll 和 sc.exe。
然而,微软研究人员在周二的博客中指出,这些重命名后的二进制文件仍然保留了原始的可执行文件(PE)元数据。这意味着微软 Defender 等安全解决方案可以通过识别文件名与内置原始文件名不符的差异,将此类活动标记为异常信号。
多阶段渗透与权限提升
在初步渗透后,攻击者利用 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等受信任的云服务下载二级 VBS 负载。这种做法进一步增加了企业安全团队区分正常网络活动与恶意下载的难度,因为流量指向的是合法的云基础设施。
随后,该恶意软件会尝试修改用户账户控制(UAC)设置,以提升 cmd.exe 的执行权限。一旦成功,恶意软件将在系统重启后依然能够运行,从而为部署最终的恶意 MSI 安装程序铺平道路。
"训练员工识别可疑的 WhatsApp 附件和意外消息,强化即使是熟悉的平台也可能被利用来传输恶意软件的意识," 微软在建议中指出。
远程访问工具的滥用风险
最终部署的安装包包括伪装成 WinRAR、AnyDesk 和 LinkPoint 的 MSI 文件。值得注意的是,攻击者使用了 AnyDesk 等真实远程桌面工具而非自定义木马,旨在通过在正常软件中隐藏来逃避检测,但这些安装包均缺乏合法的数字签名。
此类攻击的广泛影响在于,一旦远程访问权限被建立,攻击者不仅可以窃取企业机密,还可以将受感染的机器作为跳板,在内网中部署勒索软件或发动更大规模的协同攻击。
此次事件凸显了社会工程学在现代网络威胁中的核心地位。与单纯依赖技术漏洞不同,此类攻击利用的是用户对熟人账户或紧急消息的信任,使得传统的防火墙和杀毒软件在用户主动执行文件面前显得力不从心。
未来,企业需重点关注端点检测与响应(EDR)能力的提升,并加强针对即时通讯软件的安全培训。随着攻击者更频繁地利用合法云服务和签名缺失的商业软件,识别“异常行为”而非仅依赖“恶意签名”将成为防御重点。