微软警告用户不要随意打开WhatsApp消息

要小心点击的内容。恶意分子正在滥用WhatsApp消息进行多阶段攻击，传播恶意的Microsoft安装程序(MSI)包，使犯罪分子能够控制受害者的计算机并访问他们的所有数据。

据悉，这场攻击活动始于2月下旬，攻击链从WhatsApp消息开始，传播恶意的Visual Basic脚本(VBS)文件。我们还不确定该骗局的社会工程学部分是如何运作的——我们已经向微软询问了更多细节，如果收到任何信息，我们将更新这个故事。

但攻击者以某种方式诱骗消息接收者在其系统上执行恶意文件。他们可能使用被入侵的WhatsApp会话来做到这一点，使消息看起来来自受害者现有的联系人之一。或者他们向用户发送包含紧迫感的诱饵，促使接收者匆忙打开文件。

一旦执行，恶意脚本会在C:\ProgramData中创建隐藏文件夹，并放置重命名版本的合法Windows实用程序——例如，curl.exe重命名为netapi.dll，bitsadmin.exe重命名为sc.exe。

使用合法的Windows工具进行恶意目的允许攻击者与正常网络活动融合——防御者称之为"就地取材"——但恶意分子在重命名这些二进制文件时犯了一个错误。

"值得注意的是，这些重命名的二进制文件保留了它们原始的PE(可移植可执行文件)元数据，包括仍然将它们标识为curl.exe和bitsadmin.exe的OriginalFileName字段，"微软研究人员在周二的博客中写道。"这意味着Microsoft Defender和其他安全解决方案可以利用这种元数据差异作为检测信号，标记文件名与其嵌入的OriginalFileName不匹配的实例。"

犯罪分子使用重命名的二进制文件从受信任的云服务(包括AWS、腾讯云和Backblaze B2)下载辅助VBS有效负载(auxs.vbs、2009.vbs)。同样，这使得区分正常企业活动和恶意下载变得更加困难。

然后，恶意软件修改用户账户控制(UAC)设置，尝试以提升的权限启动cmd.exe，直到成功(意味着恶意软件将在系统重启后存活)或进程被强制终止。

最后，攻击者部署恶意MSI安装程序，微软表示这些包括Setup.msi、WinRAR.msi、LinkPoint.msi和AnyDesk.msi。再一次，坏人使用像AnyDesk这样的真实工具——而不是定制恶意软件——来隐藏在众目睽睽之下。

然而，最终有效负载都没有签名，这应该是防御者正在处理恶意软件而不是合法企业软件的另一个指示。

这些安装程序为攻击者提供对受害者系统的远程访问，因此他们可以窃取数据、在受损系统上部署更多恶意软件(如勒索软件)，或使用受感染的机器作为更大网络的一部分来发起其他攻击。

虽然微软的博客包含了几个建议，指导人们使用他们的安全产品来避免这种类型的妥协，但我们特别喜欢的一个供应商中立的建议涉及教育用户如何识别社会工程学活动。

"培训员工识别可疑的WhatsApp附件和意外消息，强化即使熟悉的平台也可能被利用来传播恶意软件，"微软建议道。

WhatsApp发言人拒绝回答《The Register》关于这次活动的具体问题。他们确实提醒任何消息服务的用户只点击来自他们认识和信任的人的链接或打开文件，并鼓励用户阻止和报告任何可疑消息。

此外，对于面临目标攻击风险较高的用户，这个消息应用推出了严格账户设置。这是一个类似锁定的功能，用户可以通过进入设置>隐私>高级来开启。它会自动静音未知呼叫，阻止来自未知用户的附件，并阻止链接预览。

4月1日更新，包含WhatsApp的回应。

Q&A

Q1：这个WhatsApp恶意软件攻击是如何运作的？

A：攻击从WhatsApp消息开始，传播恶意VBS文件。攻击者可能使用被入侵的WhatsApp会话，使消息看起来来自受害者的联系人，或发送紧迫性诱饵促使用户打开文件。一旦执行，恶意软件会创建隐藏文件夹，重命名合法Windows工具，然后下载更多恶意负载。

Q2：攻击者为什么要重命名合法的Windows工具？

A：攻击者重命名curl.exe和bitsadmin.exe等合法Windows工具是为了与正常网络活动融合，这种技术叫"就地取材"。但他们犯了错误，重命名的文件仍保留原始元数据，Microsoft Defender等安全解决方案可以利用这种差异来检测恶意活动。

Q3：如何防护这种WhatsApp恶意软件攻击？

A：微软建议培训员工识别可疑的WhatsApp附件和意外消息。用户应只点击来自认识和信任的人的链接或文件，阻止和报告可疑消息。WhatsApp还为高风险用户提供严格账户设置功能，可自动静音未知呼叫并阻止未知用户的附件。