微软(Microsoft)周二发布警告,称一项始于 2 月底的多阶段网络攻击正利用 WhatsApp 消息传递恶意微软安装程序(MSI)包。攻击者通过诱导用户执行恶意脚本,能够完全控制受害者机器并访问其所有数据。此次攻击链条复杂,旨在通过伪装成合法软件来规避安全检测。
利用“离地攻击”掩盖恶意行为
根据 The Register 的报道,该攻击始于一个包含恶意 Visual Basic 脚本(VBS)文件的 WhatsApp 消息。攻击者可能利用被盗的会话使消息看起来来自已知联系人,或利用紧迫感促使接收者迅速打开文件。一旦脚本执行,它会在系统目录下创建隐藏文件夹,并将合法的 Windows 工具重命名为看似正常的动态链接库(DLL)文件。
这种利用系统自带合法工具进行攻击的手法被称为“离地攻击”(Living off the Land)。攻击者将 `curl.exe` 重命名为 `netapi.dll`,将 `bitsadmin.exe` 重命名为 `sc.exe`,从而在网络活动中与正常系统行为混淆。然而,微软研究人员发现这些二进制文件保留了原始的 PE 元数据,这成为了检测该威胁的关键信号。
"这意味着 Microsoft Defender 和其他安全解决方案可以利用这种元数据不一致作为检测信号,标记文件名与其嵌入的原始文件名不匹配的情况," 微软在周二的博客中写道。
跨云服务部署远程控制工具
在初步入侵后,恶意脚本会从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等可信云服务下载二级 VBS 负载。随后,恶意软件尝试更改用户账户控制(UAC)设置,以提升 `cmd.exe` 的权限,确保恶意程序在系统重启后仍能运行。这一过程极大地提高了攻击的持久性,使得防御者难以通过简单重启清除威胁。
最终阶段,攻击者部署名为 `Setup.msi`、`WinRAR.msi`、`LinkPoint.msi` 和 `AnyDesk.msi` 的安装程序。值得注意的是,攻击者使用了 AnyDesk 等真实远程桌面工具而非自定义恶意软件,以进一步隐藏行踪。由于这些安装程序均未经过数字签名,安全软件可将其识别为非法企业软件。
企业安全防御与社会工程学挑战
此次事件凸显了社会工程学在现代网络犯罪中的核心地位。尽管技术手段在演进,但攻击的突破口依然是人类的信任和疏忽。与以往单纯依赖漏洞利用(Exploit)的攻击不同,该方案依赖于用户主动执行文件,这意味着单纯的软件补丁无法完全杜绝此类风险。
微软建议企业加强员工培训,引导其识别可疑的 WhatsApp 附件和异常消息。研究人员强调,即使是在熟悉的通信平台上,也可能成为恶意软件传递的渠道。对于全球企业而言,将员工意识提升至与技术防御同等高度已成为当前网络安全战略的必然选择。
未来,随着攻击者更频繁地利用第三方可信云服务作为分发节点,基于域名的传统过滤机制将失效。企业需转向基于行为分析和元数据校验的端点检测与响应(EDR)方案。业界将密切关注 Meta 针对此类利用其平台进行社会工程学攻击的应对措施。