微软研究人员于本周二发出警告,称一起始于2026年2月下旬的多阶段网络攻击正利用 WhatsApp 传播恶意软件。攻击者通过发送包含恶意 Visual Basic Script (VBS) 文件的消息,诱导用户执行代码,最终在受害者机器上安装恶意 Microsoft Installer (MSI) 软件包。此举允许犯罪分子远程控制设备并访问所有存储数据。
利用合法工具掩盖恶意行为
根据 The Register 报道,该攻击链采用了所谓的“离地攻击”(Living off the Land)策略,即利用系统自带的合法工具来规避安全检测。恶意脚本会在 C:\ProgramData 中创建隐藏文件夹,并将合法 Windows 工具重命名,例如将 curl.exe 重命名为 netapi.dll。这种方法使恶意活动在网络流量中显得像正常的系统操作。
然而,微软的研究人员发现攻击者在重命名过程中留下了漏洞。由于重命名的二进制文件保留了原始的 PE (Portable Executable) 元数据,其 OriginalFileName 字段依然显示为 curl.exe。这意味着 Microsoft Defender 等安全软件可以通过检测文件名与内置元数据的差异来识别攻击。
跨云服务部署二次负载
在初步渗透后,攻击者利用这些伪装工具从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等可信云服务下载二次 VBS 负载。通过利用知名云平台的基础设施,攻击者进一步降低了被企业防火墙拦截的概率。随后,恶意软件会尝试修改用户账户控制 (UAC) 设置,以获取提升的系统权限。
最终阶段是部署未签名的 MSI 安装程序,包括伪装成 WinRAR、AnyDesk 和 LinkPoint 的文件。尽管 AnyDesk 是合法的远程管理工具,但在此案例中被用于建立持久的远程访问通道。一旦安装成功,攻击者可以将受感染机器作为跳板,部署勒索软件或发起更大规模的网络攻击。
社交工程与企业防御挑战
此次攻击的核心在于社交工程,攻击者可能利用被盗的 WhatsApp 会话,使消息看起来来自已知联系人,或利用紧迫感诱导用户快速点击。这种利用熟人信任关系的手段,使得传统的纯技术防御手段难以完全奏效。这与近年来频发的针对政府官员的 Signal 和 WhatsApp 钓鱼攻击具有相似的逻辑。
"培训员工识别可疑的 WhatsApp 附件和意外消息,强化即使是熟悉的平台也可能被利用来传递恶意软件的意识," 微软在建议中指出。
全球网络安全格局的演变
此次事件表明,网络犯罪分子正日益倾向于将社交软件作为企业渗透的入口点,而非传统的电子邮件。随着远程办公和即时通讯工具在商业沟通中的普及,企业攻击面已大幅扩张。这种趋势要求企业将安全意识培训从单纯的邮件过滤扩展到所有协作平台。
未来,安全专家将重点关注如何通过行为分析而非单纯的签名检测来识别此类攻击。随着攻击者更频繁地利用合法云服务和系统工具,端点检测与响应 (EDR) 系统的实时监控能力将成为防御关键。企业需密切关注未签名安装包的执行记录,以防止类似漏洞被再次利用。