微软(Microsoft)近日发出安全警告,称一起始于2026年2月下旬的多阶段网络攻击活动正利用WhatsApp消息传播恶意软件。攻击者通过发送包含恶意Visual Basic脚本(VBS)的文件,诱导用户在设备上运行,从而部署恶意微软安装程序(MSI)包。一旦安装成功,犯罪分子即可远程控制受害者的计算机并访问所有存储数据。
利用合法工具掩盖恶意行为
根据《The Register》报道,攻击者采用了名为“离地攻击”(Living off the Land)的策略,通过使用合法的Windows实用程序来规避安全检测。恶意脚本会在系统目录中创建隐藏文件夹,并将 `curl.exe` 和 `bitsadmin.exe` 等合法工具重命名为 `netapi.dll` 或 `sc.exe`。这种手段使恶意网络活动在监控系统中看起来像正常的系统运行。
然而,微软的研究人员发现攻击者在重命名过程中留下了漏洞。由于这些二进制文件保留了原始的可执行文件(PE)元数据,包括 `OriginalFileName` 字段,安全软件可以通过检测文件名与内部元数据的差异来识别威胁。
多平台云服务与权限提升
在初步感染后,恶意软件会从AWS、腾讯云(Tencent Cloud)和Backblaze B2等可信云服务下载二级VBS负载。利用知名云平台作为分发渠道,进一步增加了企业安全防御系统区分正常业务流量与恶意下载的难度。
随后,该软件会尝试修改用户账户控制(UAC)设置,以获取提升的系统权限。如果攻击者成功启动具有高权限的 `cmd.exe`,恶意软件将在系统重启后依然能够运行,确保了长期潜伏的可能性。
"培训员工识别可疑的WhatsApp附件和意外消息,强调即使是熟悉的平台也可能被用于分发恶意软件," 微软在建议中指出。
远程控制风险与企业防御挑战
攻击的最终阶段是部署未经签名的MSI安装程序,包括伪装成 AnyDesk 或 WinRAR 的安装包。由于AnyDesk本身是合法的远程桌面工具,攻击者利用其合法性来隐藏在系统中的行为,从而实现对受害者机器的完全远程访问。
此次攻击反映了社会工程学在现代网络犯罪中的核心地位。攻击者可能通过盗用已知联系人的账户发送消息,或利用紧迫感诱导用户快速点击,使传统的防火墙和杀毒软件在用户主动执行权限的情况下失效。
随着企业对协作工具依赖程度的增加,此类跨平台攻击将对全球数字经济安全构成持续挑战。未来,企业需要将安全意识培训与技术防御相结合,重点监控未经签名的安装包执行以及异常的系统元数据更改。