微软(Microsoft)近日发出安全警告,披露了一项针对WhatsApp用户的多阶段网络攻击活动。该攻击始于2026年2月下旬,攻击者通过发送恶意视觉基本脚本(VBS)文件,诱导受害者在计算机上执行,从而使犯罪分子能够远程控制受害者机器并访问所有敏感数据。
利用合法工具掩盖恶意行为
根据《The Register》报道,此次攻击采用了一种被称为“离地攻击”(Living off the Land)的策略。恶意脚本在受害者系统中创建隐藏文件夹,并将合法的Windows实用程序重命名,例如将curl.exe重命名为netapi.dll。这种方法旨在使恶意活动在网络监控中与正常的系统操作混淆,从而规避安全防御系统的检测。
然而,微软的研究人员发现攻击者在重命名二进制文件时留下了漏洞。这些文件虽然名称被更改,但其可执行文件(PE)元数据中的原始文件名(OriginalFileName)字段依然保持不变。微软表示,这种元数据不一致为Microsoft Defender等安全软件提供了关键的检测信号。
从云端下载到远程控制
攻击者利用重命名的工具从AWS、腾讯云(Tencent Cloud)和Backblaze B2等知名云服务平台下载二级VBS负载。通过利用信任度高的云基础设施,攻击者进一步降低了恶意下载被企业防火墙拦截的可能性。随后,恶意软件会尝试修改用户账户控制(UAC)设置,以获取更高权限并确保在系统重启后依然能够运行。
在攻击的最终阶段,犯罪分子部署了一系列恶意的MSI安装包,包括伪装成WinRAR和AnyDesk的安装程序。尽管这些程序使用了合法软件的名称,但均未经过数字签名。一旦安装成功,攻击者即可获得系统的远程访问权限,用于窃取机密数据或部署勒索软件。
"培训员工识别可疑的WhatsApp附件和意外消息,强化即使是熟悉的平台也可能被用于传播恶意软件的意识," 微软在安全建议中指出。
社会工程学与企业安全风险
此次攻击凸显了社会工程学在现代网络犯罪中的核心作用。攻击者可能通过劫持已有的WhatsApp会话,使消息看起来来自受害者的熟人,或者利用紧迫感诱导用户快速点击。这种心理操纵手段使得即使是具备基础技术知识的用户也容易陷入陷阱。
与以往的大规模随机钓鱼攻击相比,此次活动表现出更高的针对性和隐蔽性。通过结合合法云服务和系统原生工具,攻击者显著提高了在企业网络内部潜伏的时间。这表明网络威胁正从简单的恶意代码转向更复杂的流程化攻击链。
未来,企业应重点关注端点检测与响应(EDR)能力的提升,并加强针对即时通讯软件的安全培训。随着远程办公的普及,WhatsApp等个人通讯工具在商业环境中的渗透率增加,已成为企业安全防御的新薄弱环节。安全专家预计,利用信任关系进行渗透的定向攻击将成为接下来的主要趋势。