--- title: "微软警告:不要打开那个 WhatsApp 消息" type: "News" locale: "zh-CN" url: "https://longbridge.com/zh-CN/news/281249137.md" description: "微软警告用户关于一种多阶段攻击,该攻击利用 WhatsApp 消息传播恶意的 Microsoft Installer (MSI) 包。攻击始于一条包含有害 Visual Basic Script (VBS) 文件的 WhatsApp 消息,诱使接收者执行这些文件。这导致隐藏文件夹的创建以及合法 Windows 工具的恶意使用。攻击者随后部署 MSI 安装程序,以获取受害者系统的远程访问权限,从而进行数据盗窃和进一步的恶意软件部署。微软建议用户提高警惕,学习识别可疑消息,以应对此类威胁" datetime: "2026-03-31T21:20:58.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/281249137.md) - [en](https://longbridge.com/en/news/281249137.md) - [zh-HK](https://longbridge.com/zh-HK/news/281249137.md) --- # 微软警告:不要打开那个 WhatsApp 消息 点击时要小心。恶意分子正在利用 WhatsApp 消息进行多阶段攻击,传递恶意的 Microsoft Installer (MSI) 包,使犯罪分子能够控制受害者的机器并访问他们的所有数据。 我们被告知,这场活动始于二月底,攻击链以一条 WhatsApp 消息开始,该消息传递恶意的 Visual Basic Script (VBS) 文件。我们不确定诈骗的社交工程部分具体是如何运作的——我们已向 Redmond 询问更多细节,如果收到回复将更新此故事。 _The Register_ 也联系了 Meta 旗下的 WhatsApp 进行评论,但没有收到回复。 但攻击者以某种方式欺骗消息接收者在其系统上执行恶意文件。他们可能使用被攻陷的 WhatsApp 会话,使消息看起来来自受害者的现有联系人之一。或者,他们向用户发送带有紧迫感的诱饵,促使接收者匆忙打开文件。 一旦执行,恶意脚本会在 C:\\ProgramData 中创建隐藏文件夹,并投放重命名的合法 Windows 工具版本——例如,将 curl.exe 重命名为 netapi.dll,将 bitsadmin.exe 重命名为 sc.exe。 使用合法的 Windows 工具进行恶意活动使攻击者能够与正常的网络活动混合——防御者称之为 “利用现有资源”——但恶意分子在重命名这些二进制文件时确实犯了一个错误。 “值得注意的是,这些重命名的二进制文件保留了其原始的 PE(可移植可执行文件)元数据,包括仍然将其标识为 curl.exe 和 bitsadmin.exe 的 OriginalFileName 字段,” 微软的研究人员在周二的博客中写道。“这意味着 Microsoft Defender 和其他安全解决方案可以利用这种元数据差异作为检测信号,标记文件名与其嵌入的 OriginalFileName 不匹配的实例。” 犯罪分子使用重命名的二进制文件从包括 AWS、腾讯云和 Backblaze B2 在内的可信云服务下载二次 VBS 有效载荷(auxs.vbs,2009.vbs)。再次,这使得区分正常企业活动和恶意下载变得更加困难。 - Meta,国际警察利用手铐和人工智能阻止诈骗者 - 俄罗斯网络犯罪分子通过钓鱼攻击进入官员的 Signal 和 WhatsApp 账户 - 多疑的 WhatsApp 用户欢呼:加密应用获得一键隐私切换 - 被污染的 WhatsApp API 包窃取消息和账户 然后,恶意软件更改用户账户控制(UAC)设置,试图以提升的权限启动 cmd.exe,直到成功为止,这意味着恶意软件将在系统重启后存活,或者该进程被强制终止。 最后,攻击者部署恶意的 MSI 安装程序,微软表示这些包括 Setup.msi、WinRAR.msi、LinkPoint.msi 和 AnyDesk.msi。再次,坏人使用真实工具如 AnyDesk——而不是自定义恶意软件——以隐藏在明处。 然而,最终的有效载荷都没有签名,这应该是另一个迹象,表明防御者正在处理恶意软件,而不是合法的企业软件。 这些安装程序使攻击者能够远程访问受害者的系统,以便窃取数据,在被攻陷的系统上部署更多恶意软件——例如勒索软件——或将感染的机器作为更大网络的一部分,从中发起其他攻击。 虽然微软的博客中包含了几条建议,指导人们使用他们的安全产品以避免此类妥协,但我们特别喜欢的一条中立建议是教育用户如何识别社交工程活动。 “培训员工识别可疑的 WhatsApp 附件和意外消息,强调即使是熟悉的平台也可能被利用来传递恶意软件,” Redmond 建议。® ### 相关股票 - [XSW.US](https://longbridge.com/zh-CN/quote/XSW.US.md) - [MSFO.US](https://longbridge.com/zh-CN/quote/MSFO.US.md) - [IGV.US](https://longbridge.com/zh-CN/quote/IGV.US.md) - [600536.CN](https://longbridge.com/zh-CN/quote/600536.CN.md) - [MSFL.US](https://longbridge.com/zh-CN/quote/MSFL.US.md) - [CLOU.US](https://longbridge.com/zh-CN/quote/CLOU.US.md) - [MSFU.US](https://longbridge.com/zh-CN/quote/MSFU.US.md) - [MSFX.US](https://longbridge.com/zh-CN/quote/MSFX.US.md) - [MSFT.US](https://longbridge.com/zh-CN/quote/MSFT.US.md) ## 相关资讯与研究 - [微软发布新款商用 Surface 设备,英特尔酷睿 Ultra 3 系列处理器先行](https://longbridge.com/zh-CN/news/286933508.md) - [毕马威携手 Anthropic 升级全球税务与咨询业务平台](https://longbridge.com/zh-CN/news/286928226.md) - [为获取 AI 训练数据,硅谷巨头们纷纷向自家员工 “下手”](https://longbridge.com/zh-CN/news/286994145.md) - [特朗普账户一季度买了哪些股票?](https://longbridge.com/zh-CN/news/287075975.md) - [Intuit 裁减一成七全职员工 成最新一间大幅裁员科技公司](https://longbridge.com/zh-CN/news/287130157.md)