微软(Microsoft)近日发布安全警告,披露了一项利用 WhatsApp 传播恶意软件的多阶段攻击活动。该攻击始于 2026 年 2 月下旬,攻击者通过社交工程手段诱导用户执行恶意 Visual Basic 脚本(VBS),最终在受害者设备上安装恶意 MSI 安装包。此举使犯罪分子能够远程控制目标机器并获取所有敏感数据。
隐蔽的“离地攻击”技术
根据 The Register 的报道,攻击者在执行脚本后会在系统目录中创建隐藏文件夹,并将合法的 Windows 工具进行重命名以规避检测。例如,攻击者将 `curl.exe` 重命名为 `netapi.dll`,将 `bitsadmin.exe` 重命名为 `sc.exe`。这种利用系统内置工具进行攻击的手段被称为 “离地攻击”(Living off the Land),旨在使恶意活动与正常的网络流量混淆。
然而,微软的研究人员发现攻击者在重命名过程中留下了漏洞。由于这些二进制文件保留了原始的 PE(可执行文件)元数据,安全软件可以通过对比文件名与嵌入的 `OriginalFileName` 字段来识别异常。这种元数据的不一致为 Microsoft Defender 等安全解决方案提供了关键的检测信号。
从云服务下载到权限提升
攻击者利用重命名后的工具,从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等受信任的云服务平台下载二级 VBS 载荷。利用知名云服务作为分发渠道,进一步增加了企业防御系统区分正常业务活动与恶意下载的难度。
在获取初步权限后,该恶意软件会尝试修改用户账户控制(UAC)设置,以提升 `cmd.exe` 的运行权限。一旦权限提升成功,恶意软件即可在系统重启后继续运行。随后,攻击者部署包括 `Setup.msi` 和 `AnyDesk.msi` 在内的安装包,利用 AnyDesk 等合法远程桌面工具实现对受害系统的长期控制。
"培训员工识别可疑的 WhatsApp 附件和意外消息,强调即使是熟悉的平台也可能被利用来传递恶意软件," 微软在相关建议中指出。
企业安全防御的现实挑战
此次攻击凸显了社交工程在现代网络威胁中的核心地位。与传统的电子邮件钓鱼相比,通过 WhatsApp 等即时通讯工具发起的攻击更具欺骗性,因为攻击者可能通过劫持现有会话,使消息看起来像是来自受害者的熟人或同事。
此次事件反映出网络犯罪分子正从开发自定义恶意软件转向利用 “合法软件”(如 AnyDesk)和云基础设施。这种趋势使得基于签名或黑名单的传统防御机制失效,迫使企业必须转向基于行为分析和元数据校验的检测模式。
未来,企业应重点加强员工的安全意识培训,并严格监控系统内不寻常的二进制文件重命名行为。随着即时通讯软件在商业沟通中的普及,此类利用信任链条的攻击预计将增加,安全专家建议用户在打开任何非预期附件前必须核实发送者身份。