--- title: "微軟警告:不要打開那個 WhatsApp 消息" type: "News" locale: "zh-HK" url: "https://longbridge.com/zh-HK/news/281249137.md" description: "微軟警告用户關於一種多階段攻擊,該攻擊利用 WhatsApp 消息傳播惡意的 Microsoft Installer (MSI) 包。攻擊始於一條包含有害 Visual Basic Script (VBS) 文件的 WhatsApp 消息,誘使接收者執行這些文件。這導致隱藏文件夾的創建以及合法 Windows 工具的惡意使用。攻擊者隨後部署 MSI 安裝程序,以獲取受害者系統的遠程訪問權限,從而進行數據盜竊和進一步的惡意軟件部署。微軟建議用户提高警惕,學習識別可疑消息,以應對此類威脅" datetime: "2026-03-31T21:20:58.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/281249137.md) - [en](https://longbridge.com/en/news/281249137.md) - [zh-HK](https://longbridge.com/zh-HK/news/281249137.md) --- # 微軟警告:不要打開那個 WhatsApp 消息 點擊時要小心。惡意分子正在利用 WhatsApp 消息進行多階段攻擊,傳遞惡意的 Microsoft Installer (MSI) 包,使犯罪分子能夠控制受害者的機器並訪問他們的所有數據。 我們被告知,這場活動始於二月底,攻擊鏈以一條 WhatsApp 消息開始,該消息傳遞惡意的 Visual Basic Script (VBS) 文件。我們不確定詐騙的社交工程部分具體是如何運作的——我們已向 Redmond 詢問更多細節,如果收到回覆將更新此故事。 _The Register_ 也聯繫了 Meta 旗下的 WhatsApp 進行評論,但沒有收到回覆。 但攻擊者以某種方式欺騙消息接收者在其系統上執行惡意文件。他們可能使用被攻陷的 WhatsApp 會話,使消息看起來來自受害者的現有聯繫人之一。或者,他們向用户發送帶有緊迫感的誘餌,促使接收者匆忙打開文件。 一旦執行,惡意腳本會在 C:\\ProgramData 中創建隱藏文件夾,並投放重命名的合法 Windows 工具版本——例如,將 curl.exe 重命名為 netapi.dll,將 bitsadmin.exe 重命名為 sc.exe。 使用合法的 Windows 工具進行惡意活動使攻擊者能夠與正常的網絡活動混合——防禦者稱之為 “利用現有資源”——但惡意分子在重命名這些二進制文件時確實犯了一個錯誤。 “值得注意的是,這些重命名的二進制文件保留了其原始的 PE(可移植可執行文件)元數據,包括仍然將其標識為 curl.exe 和 bitsadmin.exe 的 OriginalFileName 字段,” 微軟的研究人員在週二的博客中寫道。“這意味着 Microsoft Defender 和其他安全解決方案可以利用這種元數據差異作為檢測信號,標記文件名與其嵌入的 OriginalFileName 不匹配的實例。” 犯罪分子使用重命名的二進制文件從包括 AWS、騰訊雲和 Backblaze B2 在內的可信雲服務下載二次 VBS 有效載荷(auxs.vbs,2009.vbs)。再次,這使得區分正常企業活動和惡意下載變得更加困難。 - Meta,國際警察利用手銬和人工智能阻止詐騙者 - 俄羅斯網絡犯罪分子通過釣魚攻擊進入官員的 Signal 和 WhatsApp 賬户 - 多疑的 WhatsApp 用户歡呼:加密應用獲得一鍵隱私切換 - 被污染的 WhatsApp API 包竊取消息和賬户 然後,惡意軟件更改用户賬户控制(UAC)設置,試圖以提升的權限啓動 cmd.exe,直到成功為止,這意味着惡意軟件將在系統重啓後存活,或者該進程被強制終止。 最後,攻擊者部署惡意的 MSI 安裝程序,微軟表示這些包括 Setup.msi、WinRAR.msi、LinkPoint.msi 和 AnyDesk.msi。再次,壞人使用真實工具如 AnyDesk——而不是自定義惡意軟件——以隱藏在明處。 然而,最終的有效載荷都沒有簽名,這應該是另一個跡象,表明防禦者正在處理惡意軟件,而不是合法的企業軟件。 這些安裝程序使攻擊者能夠遠程訪問受害者的系統,以便竊取數據,在被攻陷的系統上部署更多惡意軟件——例如勒索軟件——或將感染的機器作為更大網絡的一部分,從中發起其他攻擊。 雖然微軟的博客中包含了幾條建議,指導人們使用他們的安全產品以避免此類妥協,但我們特別喜歡的一條中立建議是教育用户如何識別社交工程活動。 “培訓員工識別可疑的 WhatsApp 附件和意外消息,強調即使是熟悉的平台也可能被利用來傳遞惡意軟件,” Redmond 建議。® ### 相關股票 - [XSW.US](https://longbridge.com/zh-HK/quote/XSW.US.md) - [MSFO.US](https://longbridge.com/zh-HK/quote/MSFO.US.md) - [IGV.US](https://longbridge.com/zh-HK/quote/IGV.US.md) - [600536.CN](https://longbridge.com/zh-HK/quote/600536.CN.md) - [MSFL.US](https://longbridge.com/zh-HK/quote/MSFL.US.md) - [CLOU.US](https://longbridge.com/zh-HK/quote/CLOU.US.md) - [MSFU.US](https://longbridge.com/zh-HK/quote/MSFU.US.md) - [MSFX.US](https://longbridge.com/zh-HK/quote/MSFX.US.md) - [MSFT.US](https://longbridge.com/zh-HK/quote/MSFT.US.md) ## 相關資訊與研究 - [用户規模突破 30 億!谷歌加速 AI 生態整合 搜尋引擎 25 年最大改版 今年砸 1900 億美元拚 AI 基建](https://longbridge.com/zh-HK/news/287107971.md) - [3G 資本在其投資組合進行重大調整時退出了微軟股票。微軟仍然是當前最佳的人工智能投資選擇之一](https://longbridge.com/zh-HK/news/286947824.md) - [鈺立微獲 COMPUTEX 2026 BC Award 中小企業特別獎](https://longbridge.com/zh-HK/news/287163054.md) - [美股高貴不貴 企業獲利支撐本益比 市值產業型美股 ETF 看俏](https://longbridge.com/zh-HK/news/286988455.md) - [Meta 全球裁員約 8000 人 新加坡員工凌晨 4 點接獲通知、工程和產品部門受衝擊](https://longbridge.com/zh-HK/news/286985679.md)