WhatsApp 钓鱼攻击利用虚假商务文档入侵 PC

一场正在进行的恶意软件活动正针对多个国家的 WhatsApp 用户，发送带有欺骗性消息的 VBScript 文件，最终导致远程系统访问。

威胁行为者使用的文件名暗示是商务和财务文档，由受害者的联系人（其账户已被入侵）发送。

收件人下载并执行恶意附件后，会启动一条感染链，最终安装合法的 ManageEngine Endpoint Central，该软件被 IT 管理员用于从集中式仪表板管理系统。

来自网络安全公司 Kaspersky 的遥测数据显示，该活动蔓延至巴西、印度、墨西哥、新加坡、英国、西班牙、澳大利亚、俄罗斯、越南和马来西亚。

攻击链

Kaspersky 报告称，攻击始于从被入侵账户发送的消息，这些消息仅包含一个高度混淆的 VBS 文件。

这些文件被赋予看起来像是财务报告、账单明细、账户通知及类似文档的名称，很可能吸引目标的注意力并促使其打开文件。

文件名还使用了多种语言本地化，进一步证实了该活动的全球范围。

Kaspersky 解释道：“根据通过社交媒体报告和提交的样本从多个受害者收集的证据，我们可以得出结论，威胁行为者已获得多个 WhatsApp 账户的访问权限，并利用它们向被入侵用户联系人列表中的联系人分发恶意 VBScript 文件。”

“在撰写本文时，用于入侵这些 WhatsApp 账户的具体方法仍然未知。”

如果受害者在 Windows 上下载并打开该文件，VBScript 会从攻击者的基础设施获取两个额外的脚本，这些脚本进而通过注册表修改禁用 UAC 保护，并下载一个包含 ManageEngine Endpoint Central 程序的 ZIP 压缩包。

该软件在后台静默安装，并配置为连接到攻击者控制的管理服务器，从而在受害者计算机上授予他们远程管理访问权限。

Kaspersky 指出，当初始 VBScript 文件通过 WhatsApp Web 传递时，必须下载；但当在 WhatsApp Desktop 客户端中打开时，它可以通过 Windows Script Host（wscript.exe）直接执行。

虽然 Kaspersky 未将这些攻击归因于特定的威胁行为者，但研究人员发现了中文使用迹象以及与先前与 ValleyRAT 和 Gh0st RAT 活动相关的 IP 地址存在基础设施重叠。

然而，目前尚无足够证据进行高置信度的归因。

建议 WhatsApp 用户对联系人（甚至是受信任的联系人）发送的文件保持谨慎，并始终通过辅助方式进行验证。

所有下载的文件在执行前应使用最新的防病毒软件进行扫描。