微软(Microsoft)在周二的一篇博客文章中发出警告,称网络犯罪分子正利用 WhatsApp 开展一项多阶段社交工程攻击。该攻击始于2月下旬,通过发送恶意 Visual Basic 脚本(VBS)文件,最终在受害者系统中部署恶意微软安装程序(MSI)包,从而实现对机器的远程控制并访问所有数据。
利用合法工具掩盖恶意行为
根据微软研究人员的分析,攻击者在执行脚本后会在 `C:\ProgramData` 目录下创建隐藏文件夹,并将合法的 Windows 工具重命名以逃避检测。例如,攻击者将 `curl.exe` 重命名为 `netapi.dll`,将 `bitsadmin.exe` 重命名为 `sc.exe`。这种被称为“离地攻击”(Living off the Land)的策略使恶意活动能够混入正常的网络流量中。
然而,攻击者在重命名过程中留下了漏洞。微软指出,这些二进制文件保留了原始的可执行文件(PE)元数据,包括 `OriginalFileName` 字段,这使得 Microsoft Defender 等安全方案能够通过文件名与元数据的差异识别出威胁。
从云服务下载至远程控制
攻击者利用这些重命名后的工具,从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等受信云服务下载二级 VBS 负载。随后,恶意软件尝试修改用户账户控制(UAC)设置,以提升 `cmd.exe` 的权限,确保恶意程序在系统重启后依然能够运行。
在攻击的最终阶段,犯罪分子部署了包括 `Setup.msi`、`WinRAR.msi` 和 `AnyDesk.msi` 在内的安装程序。值得注意的是,攻击者使用了 AnyDesk 等真实远程桌面工具而非自定义恶意软件,以进一步隐匿行踪。但微软强调,这些安装程序均未经过数字签名,这是识别其为恶意软件的关键信号。
"培训员工识别可疑的 WhatsApp 附件和意外消息,强化即使是熟悉的平台也可能被利用来传递恶意软件的意识," 微软在建议中指出。
企业安全防御的挑战
此次攻击凸显了社交工程在现代企业安全中的威胁。攻击者可能利用被盗的 WhatsApp 会话使消息看起来来自已知联系人,或者通过营造紧迫感诱导用户快速点击。与以往简单的钓鱼邮件相比,通过即时通讯软件进行的攻击具有更高的信任度和隐蔽性。
对于全球企业而言,这种攻击模式增加了端点防御的难度,因为其大量依赖合法软件和云基础设施。这表明单纯依赖技术拦截已不足够,用户行为分析和持续的安全意识培训已成为防御链条中不可或缺的一环。
未来,安全专家预计此类“离地攻击”将更加频繁地结合即时通讯工具。企业需要密切监控异常的进程重命名行为以及未经签名的 MSI 安装包执行记录,以应对日益复杂的供应链和社交工程威胁。