打开网易新闻 查看精彩图片

微软安全团队周二发了个博客,语气像邻居提醒你门锁坏了——「别打开那条WhatsApp消息」。攻击从2月底开始,骗子通过WhatsApp发来Visual Basic Script文件,伪装成熟人急事,诱你点击执行。

打开网易新闻 查看精彩图片

一旦运行,脚本会在C:\ProgramData创建隐藏文件夹,把curl.exe改名成netapi.dll,bitsadmin.exe改成sc.exe。这招叫"living off the land",用系统自带工具干脏活,监控软件很难分辨。但微软发现他们犯了个低级错误:「这些重命名的二进制文件保留了原始PE元数据,OriginalFileName字段仍显示为curl.exe和bitsadmin.exe。」

打开网易新闻 查看精彩图片

安全软件能靠这个字段不匹配揪出异常。骗子接着从AWS、腾讯云、Backblaze下载更多脚本,再篡改UAC设置反复尝试提权,直到拿到系统控制权或被杀软拦截。

最后部署的MSI安装包包括Setup.msi、WinRAR.msi、LinkPoint.msi和AnyDesk.msi——全是真工具,但都没数字签名。微软提醒:正经企业软件不会这样裸奔上线。

WhatsApp母公司Meta尚未回应置评请求。