北京
微软安全团队周二发了个提醒,说有人在WhatsApp里玩"熟人诈骗"——你的好友列表里突然弹出一条消息,点开就可能中招。攻击从2月底开始,套路不算新,但够隐蔽。
骗子先给你发一个Visual Basic Script文件,文件名大概率包装成急事——账单、发票、或者"快看这个"。微软没透露具体话术,但提到两种可能:要么盗用了你好友的WhatsApp会话,要么直接广撒网制造紧迫感。你一点,脚本就在C:\ProgramData底下建隐藏文件夹,把curl.exe、bitsadmin.exe这些正经Windows工具改个名塞进去。
这招叫"living off the land",用系统自带工具干坏事,流量看起来跟正常办公没区别。但微软的研究员发现了个破绽:「这些重命名的二进制文件保留了原始的PE元数据,OriginalFileName字段仍显示为curl.exe和bitsadmin.exe。」换句话说,文件名和内部签名对不上,Defender能抓到这个矛盾点。
得手后,恶意脚本会从AWS、腾讯云、Backblaze这些可信云服务下载第二阶段载荷,然后反复尝试绕过UAC提权,直到获得管理员权限或者被你强制杀掉。最后扔上来的是几个MSI安装包——Setup.msi、WinRAR.msi、LinkPoint.msi、AnyDesk.msi,连AnyDesk这种真远程工具都拿来当马骑。
微软特别补了一句:这些最终载荷全都没数字签名,正经企业软件不会这么干。WhatsApp方面至今没回应置评请求。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
