微软公司于本周二发布安全警告,披露了一项利用 WhatsApp 传播的多阶段网络攻击活动。该攻击始于2月下旬,攻击者通过发送包含恶意Visual Basic脚本(VBS)文件的消息,诱导用户执行文件,从而在受害者机器上部署恶意微软安装程序(MSI)包。
利用“离地攻击”伪装合法工具
根据微软研究人员的分析,该攻击链在执行后会在系统路径中创建隐藏文件夹,并将合法的Windows实用工具重命名。例如,攻击者将 curl.exe 重命名为 netapi.dll,将 bitsadmin.exe 重命名为 sc.exe,以在网络活动中掩盖恶意行为。
这种利用系统原生工具进行攻击的手法被称为“离地攻击”(Living off the Land)。不过,微软指出攻击者在重命名过程中留下了破绽,这些二进制文件保留了原始的PE元数据,使得安全软件能够通过文件名与内部元数据的不匹配来识别威胁。
从云服务下载负载至权限提升
攻击者利用这些伪装工具,从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等受信云服务下载二级VBS负载。通过利用知名云平台,攻击者进一步降低了恶意下载被企业防火墙拦截的可能性。
随后,恶意软件会尝试修改用户账户控制(UAC)设置,试图以提升的权限启动命令行窗口(cmd.exe)。一旦成功,该恶意软件将在系统重启后继续运行,并最终部署包括 Setup.msi 和 AnyDesk.msi 在内的恶意安装程序。
"培训员工识别可疑的WhatsApp附件和意外消息,强调即使是熟悉的平台也可能被用于传播恶意软件," 微软在建议中指出。
社交工程对企业安全的潜在威胁
此次事件凸显了社交工程攻击的演进,攻击者可能通过劫持已有的WhatsApp会话,使恶意消息看起来像是来自熟人。相比于传统的电子邮件钓鱼,即时通讯软件的信任度更高,使得用户更容易在紧迫感的驱动下点击危险链接。
从全球经济角度看,此类攻击不仅针对个人,更旨在渗透企业网络以部署勒索软件或窃取商业机密。随着企业在办公协作中日益依赖第三方通讯工具,端到端加密虽然保护了隐私,但也为恶意代码的传递提供了隐蔽通道。
未来,安全专家预计攻击者将更多地结合人工智能生成更具欺骗性的社交诱饵。企业需要将安全意识培训作为防御体系的核心,而不能仅仅依赖于端点检测与响应(EDR)等技术手段。