北京
微软安全团队周二发了个博客,语气像邻居提醒你门锁坏了——「别打开那条WhatsApp消息」。攻击从2月底开始,骗子通过WhatsApp发来Visual Basic Script文件,伪装成熟人急事,诱你点击执行。
一旦运行,脚本会在C:\ProgramData创建隐藏文件夹,把curl.exe改名成netapi.dll,bitsadmin.exe改成sc.exe。这招叫"living off the land",用系统自带工具干脏活,监控软件很难分辨。但微软发现他们犯了个低级错误:「这些重命名的二进制文件保留了原始PE元数据,OriginalFileName字段仍显示为curl.exe和bitsadmin.exe。」
安全软件能靠这个字段不匹配揪出异常。骗子接着从AWS、腾讯云、Backblaze下载更多脚本,再篡改UAC设置反复尝试提权,直到拿到系统控制权或被杀软拦截。
最后部署的MSI安装包包括Setup.msi、WinRAR.msi、LinkPoint.msi和AnyDesk.msi——全是真工具,但都没数字签名。微软提醒:正经企业软件不会这样裸奔上线。
WhatsApp母公司Meta尚未回应置评请求。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
