微软(Microsoft)近日发布安全警告,提醒用户警惕通过 WhatsApp 传播的多阶段网络攻击。该攻击始于2026年2月下旬,攻击者通过发送恶意 Visual Basic 脚本(VBS)文件,诱导用户在计算机上执行,最终部署恶意的 Microsoft Installer (MSI) 安装包,从而实现对受害者设备的远程控制并窃取全部数据。
隐蔽的“离地攻击”技术
根据 The Register 报道,攻击者在执行脚本后会在系统路径中创建隐藏文件夹,并将合法的 Windows 工具重命名以掩盖踪迹。例如,攻击者将 `curl.exe` 重命名为 `netapi.dll`,将 `bitsadmin.exe` 重命名为 `sc.exe`。这种利用系统原生工具执行恶意操作的手法被称为“离地攻击”(Living off the Land),旨在使恶意流量在网络监控中显得像正常的企业活动。
然而,微软的研究人员指出,攻击者在重命名二进制文件时留下了漏洞。由于这些文件保留了原始的可执行文件(PE)元数据,包括 `OriginalFileName` 字段,安全软件可以通过比对文件名与嵌入元数据的差异来识别威胁。
从云服务下载至权限提升
攻击者利用这些重命名后的工具,从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等受信任的云服务平台下载二级 VBS 载荷。随后,恶意软件尝试修改用户帐户控制(UAC)设置,试图以提升的权限启动 `cmd.exe`,以确保在系统重启后仍能维持运行状态。
在最终阶段,攻击者部署名为 `Setup.msi`、`WinRAR.msi`、`LinkPoint.msi` 和 `AnyDesk.msi` 的安装程序。值得注意的是,攻击者使用了如 AnyDesk 等合法远程桌面工具,而非完全自定义的恶意软件,以进一步降低被安全软件拦截的概率。
"训练员工识别可疑的 WhatsApp 附件和意外消息,强调即使是熟悉的平台也可能被利用来传递恶意软件," 微软在相关安全建议中指出。
企业安全风险与防御趋势
此次攻击凸显了社交工程学在现代网络犯罪中的核心地位。与以往依赖电子邮件钓鱼的手段相比,利用 WhatsApp 等即时通讯工具能更有效地利用信任关系,尤其是当攻击者通过劫持现有会话让消息看起来来自已知联系人时,受害者的警惕性会大幅降低。
此外,此次攻击链条中对合法云服务和系统工具的依赖,表明网络犯罪分子正在将战术向“隐形化”转移。对于企业而言,仅依赖传统的签名检测已不足以应对此类威胁,需要转向基于行为分析和元数据校验的防御机制。
未来,随着远程办公工具的普及,针对即时通讯平台的企业级攻击预计将增加。安全专家建议企业不仅要部署端点防护软件,更应将员工的安全意识培训作为防御体系的首道防线,防止通过简单的点击导致整个企业内网被渗透。