微软(Microsoft)近日发出安全警告,称一项从 2026 年 2 月底开始的多阶段网络攻击正利用 WhatsApp 消息诱导用户下载恶意软件。攻击者通过发送包含恶意 Visual Basic 脚本(VBS)的文件,旨在最终在受害者机器上安装恶意微软安装程序(MSI)包,从而获得设备的完全控制权并窃取敏感数据。
利用合法工具实施“离地攻击”
根据 The Register 的报道,该攻击链首先通过社会工程学手段诱导用户执行 VBS 文件,攻击者可能使用了被盗的 WhatsApp 会话,使消息看起来来自已知联系人。一旦脚本运行,它会在系统目录下创建隐藏文件夹,并将合法 Windows 工具重命名,例如将 curl.exe 重命名为 netapi.dll。这种利用系统原生工具进行攻击的行为被安全专家称为“离地攻击”(Living off the Land),旨在规避传统安全软件的检测。
然而,微软的研究人员在周二的博客中指出,攻击者在重命名二进制文件时留下了破绽。这些文件虽然名称改变,但其内部的 PE(可移植可执行文件)元数据仍保留了原始文件名字段。
"这意味着 Microsoft Defender 和其他安全解决方案可以利用这种元数据差异作为检测信号,标记文件名与其嵌入的原始文件名不匹配的情况," 微软研究人员在报告中写道。
复杂的多阶段载荷传递
攻击者利用这些伪装的工具从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等信任云服务下载二级 VBS 载荷。随后,恶意软件会尝试修改用户账户控制(UAC)设置,以提升 cmd.exe 的权限,确保恶意进程在系统重启后依然能够运行。
在最终阶段,攻击者部署名为 Setup.msi、WinRAR.msi、LinkPoint.msi 和 AnyDesk.msi 的安装包。值得注意的是,攻击者使用了 AnyDesk 等合法远程桌面工具而非自定义恶意软件,以进一步隐藏在正常的企业活动之中。但微软指出,这些安装包均未经过数字签名,这是识别其为恶意软件的关键标志。
企业安全防御与社会工程学挑战
此次攻击凸显了即时通讯软件在企业环境中带来的安全风险,因为用户通常对这些平台的信任度高于电子邮件。与以往依赖单一附件的钓鱼攻击不同,此次攻击结合了云服务托管和合法软件伪装,增加了防御难度。
微软建议企业不仅要依赖安全产品,更应加强员工培训。公司应引导员工识别可疑的 WhatsApp 附件和意外消息,并强调即使是熟悉的平台也可能成为恶意软件的传播渠道。
随着远程办公和跨平台协作的普及,此类针对信任关系的社会工程学攻击预计将更加频繁。企业在评估数字化转型时,需将即时通讯工具的端点安全纳入整体风险管理体系,并密切关注未签名安装包的执行权限管理。