微软(Microsoft)于本周二发出警告,披露了一项针对WhatsApp用户的多阶段网络攻击活动。该攻击始于2026年2月下旬,通过发送包含恶意Visual Basic脚本(VBS)的文件,最终在受害者机器上安装恶意微软安装程序(MSI)包,从而允许犯罪分子远程控制系统并访问所有数据。
利用合法工具掩盖恶意行为
根据微软研究人员的分析,攻击者采用了所谓的“离地攻击”(Living off the Land)策略,即利用操作系统自带的合法工具来规避安全检测。恶意脚本会在C:\ProgramData目录下创建隐藏文件夹,并将curl.exe和bitsadmin.exe等合法Windows实用程序重命名为netapi.dll和sc.exe。
然而,攻击者在重命名过程中留下了漏洞。微软在博客中指出,这些二进制文件保留了原始的可执行文件(PE)元数据,包括OriginalFileName字段。
"这意味着Microsoft Defender和其他安全解决方案可以利用这种元数据不一致作为检测信号,标记文件名与其嵌入的原始文件名不匹配的情况," 微软研究人员在周二的博客中写道。
复杂的攻击链与权限提升
攻击者随后利用这些重命名工具,从AWS、腾讯云(Tencent Cloud)和Backblaze B2等受信云服务下载二级VBS负载。这种做法进一步增加了安全软件将恶意下载与企业正常网络活动区分开来的难度。
在获取初步访问权限后,该恶意软件会尝试修改用户帐户控制(UAC)设置,以提升cmd.exe的权限。一旦成功,恶意软件将在系统重启后依然能够运行,随后部署包括Setup.msi和AnyDesk.msi在内的恶意安装包。值得注意的是,这些安装包均未经过数字签名,这是识别其为恶意软件的关键指标。
企业安全防线与社会工程学风险
此次攻击凸显了社会工程学在现代网络犯罪中的核心地位。攻击者可能通过接管已有的WhatsApp会话,使消息看起来来自熟人,或者利用紧迫感诱导用户在匆忙中执行文件。这种心理操纵使得技术层面的防御在用户点击的一瞬间失效。
与以往直接发送钓鱼链接的简单手段相比,此次攻击结合了合法云服务、系统原生工具和多阶段载荷,显示出攻击者在规避企业级端点检测与响应(EDR)系统方面的进化。这表明针对即时通讯软件的攻击已从简单的账户盗取演变为复杂的系统渗透工具。
微软建议企业加强员工培训,重点提升识别可疑附件和意外消息的能力。由于攻击者利用了 AnyDesk 等合法远程访问工具,安全团队需密切监控未经授权的远程管理软件安装情况,以防止潜在的勒索软件部署或大规模数据外泄。