HackerNews 编译,转载请注明出处:
微软提醒关注一场新的攻击活动,该活动利用 WhatsApp 消息来分发恶意 Visual Basic 脚本(VBS)文件。
这场始于 2026 年 2 月下旬的活动,借助这些脚本启动一个多阶段的感染链,以实现持久驻留并获得远程访问权限。目前尚不清楚威胁行为者使用何种诱饵诱骗用户执行这些脚本。
微软 Defender 安全研究团队表示:“此次活动结合了社会工程学和利用系统现有工具的技术。它使用重命名的 Windows 实用程序,使其融入正常的系统活动,从 AWS、腾讯云、Backblaze B2 等可信云服务获取有效载荷,并安装恶意的微软安装程序(MSI)包,以维持对系统的控制。”
使用合法工具和可信平台是一种极具威胁的组合,这使威胁行为者能够混入正常的网络活动,增加攻击成功的可能性。
活动起始于攻击者通过 WhatsApp 消息分发恶意 VBS 文件,这些文件执行后会在 “C:\ProgramData” 中创建隐藏文件夹,并放置重命名后的合法 Windows 实用程序,如 “curl.exe” 重命名为 “netapi.dll”,“bitsadmin.exe” 重命名为 “sc.exe”。
在获得初步立足点后,攻击者试图建立持久驻留并提升权限,最终在受害者系统上安装恶意 MSI 包。这是通过使用重命名后的二进制文件,从 AWS S3、腾讯云、Backblaze B2 下载辅助 VBS 文件来实现的。
微软表示:“一旦次级有效载荷就位,恶意软件就开始篡改用户账户控制(UAC)设置,削弱系统防御。它持续尝试以提升的权限启动 cmd.exe,不断重试,直到 UAC 提升成功或该进程被强制终止,同时修改 HKLM\Software\Microsoft\Win 下的注册表项,并嵌入持久化机制,确保感染在系统重启后仍能存续。”
这些操作使威胁行为者能够通过结合注册表操作和 UAC 绕过技术,在无需用户交互的情况下获得提升的权限,并最终部署未签名的 MSI 安装程序。其中包括 AnyDesk 等合法工具,攻击者借此获得持久的远程访问权限,从而能够窃取数据或部署更多恶意软件。
微软称:“此次活动展示了一个复杂的感染链,融合了社会工程学(通过 WhatsApp 传播)、隐蔽技术(重命名合法工具、隐藏属性)以及基于云的有效载荷托管。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文