微软研究人员于本周二发出警告,称一项始于2月下旬的多阶段网络攻击正利用 WhatsApp 传播恶意软件。攻击者通过发送包含恶意 Visual Basic Script (VBS) 文件的消息,诱导用户执行该脚本,从而在受害者机器上部署恶意 Microsoft Installer (MSI) 安装包。此次攻击旨在获取设备的远程控制权并窃取全部用户数据。
伪装合法工具的“离地攻击”策略
根据 The Register 报道,攻击者在执行脚本后会在 C:\ProgramData 目录下创建隐藏文件夹,并将合法的 Windows 实用程序重命名以掩盖行踪。例如,攻击者将 curl.exe 重命名为 netapi.dll,将 bitsadmin.exe 重命名为 sc.exe。这种利用系统自带工具执行恶意操作的手法被称为“离地攻击”(Living off the Land),旨在将恶意活动混入正常的网络流量中。
然而,微软研究人员发现攻击者在重命名二进制文件时留下了漏洞。由于这些文件保留了原始的 PE(可执行文件)元数据,其 OriginalFileName 字段仍显示为原名。这意味着 Microsoft Defender 等安全解决方案可以通过检测文件名与嵌入元数据的不一致来识别威胁。
从云服务下载至远程控制
攻击者利用这些重命名后的工具,从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等受信任的云服务平台下载二级 VBS 负载。随后,恶意软件尝试修改用户账户控制 (UAC) 设置,以提升 cmd.exe 的权限,确保恶意程序在系统重启后仍能持续运行。
在攻击的最终阶段,黑客部署了伪装成合法软件的 MSI 安装程序,包括 Setup.msi、WinRAR.msi 以及远程桌面工具 AnyDesk.msi。微软指出,尽管这些安装包使用了真实软件的名称,但均未经过数字签名,这是识别其为恶意软件的关键信号。一旦安装,攻击者即可远程访问系统,部署勒索软件或将受感染机器作为进一步攻击的跳板。
企业安全防御与社会工程学风险
此次攻击凸显了社会工程学在现代网络威胁中的核心地位。攻击者可能通过劫持已有的 WhatsApp 会话,使消息看起来来自熟人,或利用紧迫感诱导用户快速点击。这种心理操纵使得传统的技术防御手段在用户主动执行恶意文件面前显得脆弱。
"培训员工识别可疑的 WhatsApp 附件和意外消息,强调即使是熟悉的平台也可能被用于分发恶意软件," 微软在建议中指出。
与以往单纯依赖漏洞利用的攻击不同,此次活动结合了合法云基础设施和系统原生工具,显著增加了检测难度。这反映出网络犯罪分子正倾向于使用“隐形”策略,通过模拟正常企业行为来规避端点检测与响应 (EDR) 系统的监控。
未来,企业需重点关注跨平台通信工具带来的安全盲点。随着远程办公和即时通讯工具在业务协作中的普及,针对非传统企业渠道的社会工程学攻击预计将增加。安全专家建议加强员工的安全意识培训,并严格执行未签名安装包的拦截策略。