微软安全研究团队于周二发出警告,称一起始于2月下旬的多阶段网络攻击正利用WhatsApp平台传播。攻击者通过发送恶意Visual Basic脚本(VBS)文件,诱导用户在计算机上执行,从而允许犯罪分子远程控制受害者设备并访问全部数据。
利用信任机制的社会工程学手段
根据《The Register》的报道,攻击者可能利用被盗的WhatsApp会话,使恶意消息看起来像是来自受害者的现有联系人。此外,攻击者还通过制造紧急氛围的诱饵信息,促使接收者在匆忙中打开附件。一旦文件被执行,恶意脚本会在系统目录下创建隐藏文件夹,并部署伪装成系统工具的恶意文件。
为了逃避检测,攻击者采用了所谓的“离地攻击”(Living off the Land)策略,将合法的Windows实用程序重新命名。例如,将curl.exe重命名为netapi.dll,将bitsadmin.exe重命名为sc.exe。这种方法旨在让恶意活动在网络流量监测中显得像正常的企业系统操作。
关键漏洞与检测信号
尽管攻击者试图伪装,但微软研究人员发现这些重命名后的二进制文件仍保留了原始的PE元数据。这意味着文件内部的OriginalFileName字段依然显示其真实身份,为安全软件提供了关键的检测信号。
"这意味着Microsoft Defender和其他安全解决方案可以利用这种元数据不一致作为检测信号,标记文件名与其嵌入的原始文件名不匹配的情况," 微软研究人员在周二的博客中写道。
在初步渗透后,恶意软件会从AWS、腾讯云(Tencent Cloud)和Backblaze B2等信任云服务下载二级有效载荷。随后,程序尝试修改用户帐户控制(UAC)设置以获取提升的权限,确保恶意软件在系统重启后仍能持续运行。
远程控制软件的最终部署
攻击的最后阶段是部署恶意的MSI安装包,包括伪装成WinRAR、AnyDesk和LinkPoint的安装程序。研究人员指出,这些安装包均未经过数字签名,这是判定其为恶意软件而非正版企业软件的重要标志。
这些工具赋予了攻击者对受害者系统的完全远程访问权限。攻击者可以据此窃取企业机密数据,部署勒索软件,或将受感染的机器作为跳板,发起更大规模的网络攻击。
企业安全防御的长期挑战
此次事件凸显了即时通讯软件在企业环境下带来的安全风险。与传统的电子邮件钓鱼相比,基于社交关系的即时消息更容易突破员工的心理防御线,导致社会工程学攻击成功率上升。
微软建议企业不仅要依赖安全产品,更应加强员工培训。通过教育员工识别可疑的WhatsApp附件和异常消息,增强其对社交工程攻击的警觉性,才能从根源上降低被入侵的风险。