微软(Microsoft)在周二的一份报告中警告,网络犯罪分子正利用 WhatsApp 发起一场复杂的多阶段攻击。此次攻击始于 2 月底,通过发送恶意 Visual Basic 脚本(VBS)文件,最终在受害者机器上部署恶意的 MSI 安装包,从而允许攻击者远程控制设备并窃取所有数据。
利用社交工程与系统工具伪装
根据 The Register 的报道,攻击者通常通过劫持已有的 WhatsApp 会话或发送具有紧迫感的诱饵信息,诱导用户执行恶意文件。一旦脚本运行,它会在 `C:\ProgramData` 目录下创建隐藏文件夹,并将合法的 Windows 工具进行重命名。例如,`curl.exe` 被重命名为 `netapi.dll`,而 `bitsadmin.exe` 则被改为 `sc.exe`。
这种利用合法系统工具执行恶意操作的手法被安全专家称为“离地攻击”(Living off the Land)。通过这种方式,攻击者可以使恶意流量与正常的网络活动混淆,从而避开许多传统的安全检测机制。然而,微软研究人员发现这些重命名后的二进制文件仍保留了原始的 PE 元数据。
"这意味着 Microsoft Defender 和其他安全解决方案可以利用这种元数据不一致作为检测信号,标记文件名与其嵌入的 OriginalFileName 不匹配的情况," 微软在周二的博客中写道。
跨云平台加载与权限提升
攻击者随后利用这些伪装工具,从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等受信云服务下载二级 VBS 负载。这种策略进一步增加了企业防御方区分正常业务下载与恶意下载的难度。随后,恶意软件会尝试修改用户账户控制(UAC)设置,以提升 `cmd.exe` 的权限。
在成功获取高权限后,攻击者会部署包括 `Setup.msi`、`WinRAR.msi` 和 `AnyDesk.msi` 在内的恶意安装程序。值得注意的是,攻击者使用了 AnyDesk 等真实远程管理工具而非自定义木马,旨在进一步隐藏行踪。不过,微软指出这些最终负载均未经过数字签名,这是识别其为恶意软件的关键信号。
企业安全防御与潜在风险
此次攻击的最终目标是建立远程访问权限,以便窃取敏感数据、部署勒索软件或将受感染机器转化为更大规模攻击网络的节点。与以往简单的钓鱼邮件相比,利用即时通讯软件(IM)进行的社交工程攻击具有更高的信任度,使得员工更容易掉入陷阱。
针对此类威胁,微软建议企业加强员工培训,使其能够识别可疑的 WhatsApp 附件和异常消息。研究人员强调,即使是熟悉的平台也可能被利用来传递恶意软件。企业应结合端点检测与响应(EDR)工具,重点监控不匹配的二进制文件元数据。
随着网络犯罪分子日益倾向于利用合法软件和云基础设施,未来的攻击将更难被察觉。企业需意识到,单一的安全软件已不足以应对多阶段的社交工程攻击。接下来的关注重点将是即时通讯平台在企业环境中的安全准入管理以及更严格的软件签名校验机制。