微软研究人员于本周二发出警告,称一起始于2026年2月下旬的多阶段网络攻击正利用WhatsApp消息传播。攻击者通过诱导用户执行恶意Visual Basic脚本(VBS)文件,最终在受害者机器上安装恶意微软安装程序(MSI)包,从而实现对系统的远程控制并获取所有数据访问权限。
隐蔽的“离地攻击”技术
根据微软在官方博客中的分析,该攻击链条具有极强的隐蔽性。恶意脚本在执行后会在C:\ProgramData目录下创建隐藏文件夹,并将合法的Windows实用工具进行重命名,例如将curl.exe重命名为netapi.dll。这种利用合法系统工具执行恶意操作的行为被安全专家称为“离地攻击”(Living off the Land),旨在使恶意活动与正常的网络流量混淆。
然而,攻击者在重命名二进制文件时留下了漏洞。微软研究人员指出,这些文件保留了原始的可执行文件(PE)元数据,包括能够识别其真实身份的OriginalFileName字段。这意味着Microsoft Defender等安全软件可以通过检测文件名与嵌入元数据之间的一致性来识别并拦截此类威胁。
从云服务下载至远程控制
攻击者利用重命名的二进制文件,从AWS、腾讯云(Tencent Cloud)和Backblaze B2等可信云服务下载二级VBS有效载荷。通过使用知名云平台,攻击者进一步降低了被企业防火墙标记为异常下载的概率。随后,恶意软件会尝试修改用户帐户控制(UAC)设置,以提升cmd.exe的权限,确保恶意程序在系统重启后仍能持续运行。
在攻击的最终阶段,黑客部署了包括Setup.msi、WinRAR.msi和AnyDesk.msi在内的恶意安装程序。值得注意的是,攻击者使用了AnyDesk等真实远程管理工具而非自定义恶意软件,以进一步掩盖行踪。但微软提醒,这些安装程序均未经过数字签名,这是判断其为恶意软件的关键信号。
"培训员工识别可疑的WhatsApp附件和意外消息,强调即使是熟悉的平台也可能被利用来传递恶意软件," 微软在建议中表示。
企业安全防御的挑战
此次事件凸显了社交工程学在现代网络犯罪中的核心地位。与传统的电子邮件钓鱼相比,通过WhatsApp等即时通讯软件发起的攻击更具欺骗性,因为攻击者可能利用被盗的会话使消息看起来来自已知联系人。这种信任关系的滥用使得技术层面的防御手段在面对人为失误时显得脆弱。
此次攻击不仅威胁个人用户,对依赖即时通讯工具进行协作的企业构成了重大风险。一旦攻击者通过远程访问工具进入企业内网,他们可以进一步部署勒索软件或将受感染机器作为跳板,发起更大规模的内部网络渗透。这标志着社交软件已成为企业网络安全防御体系中一个关键且易被忽视的漏洞点。
未来,企业需将安全培训的重点从单纯的邮件过滤转向全平台的社交工程防御。随着攻击者越来越多地利用可信云服务和合法管理工具,安全供应商可能会在行为分析和元数据验证方面引入更严格的检测机制。业界将密切关注Meta是否会针对此类滥用行为更新WhatsApp的附件安全协议。