WhatsApp钓鱼新骗局：伪装商业文件的VBScript木马如何入侵你的电脑

一条看似正常的WhatsApp消息，可能在几分钟内让你的电脑沦为攻击者的远程操作终端。近期一个全球性的恶意软件攻击活动正在多国同时展开：攻击者通过入侵用户的WhatsApp账号，向联系人发送伪装成商业文件（如财务报告、账单或账户通知）的VBScript文件。当受害者下载并执行这些文件时，恶意脚本会自动下载并安装合法的ManageEngine Endpoint Central远程管理软件，并在后台静默连接到攻击者控制的服务器，从而获得对受害者电脑的完全远程控制权限。研究显示，该攻击已覆盖巴西、印度、墨西哥、新加坡、英国、西班牙、中国台湾、澳大利亚、俄罗斯、越南和马来西亚等至少11个国家和地区。

伪装成商业文件的VBScript：攻击的第一步

攻击者的手法并不复杂，但极具迷惑性。他们首先入侵用户的WhatsApp账号，然后向该用户的联系人列表群发消息，消息中仅包含一个经过高度混淆（obfuscated）的VBScript文件。这些文件的文件名经过精心设计，模仿真实的商业文件名称，例如“Q4财务报告.vbs”“2024年账单.vbs”“账户更新通知.vbs”等。为了进一步提高成功率，攻击者还根据目标用户的语言环境对文件名进行本地化处理，例如在西班牙语区发送“Informe Financiero Q4.vbs”，在俄语区发送“Отчет за 4 квартал 2024.vbs”。这种本地化策略使得即使是经验丰富的用户也难以一眼识破。

当受害者点击WhatsApp中的文件链接时，系统会提示下载该VBS文件。如果受害者使用WhatsApp网页版（WhatsApp Web），则必须手动下载文件并双击执行；但如果受害者使用WhatsApp桌面客户端，攻击者可以直接利用Windows Script Host（wscript.exe）在无需用户额外操作的情况下执行该脚本。这一细节表明，攻击者充分利用了即时通讯工具的不同客户端特性，以提高攻击的隐蔽性和成功率。VBScript一旦被执行，便立即开始与攻击者控制的服务器建立连接，下载第二阶段的恶意脚本，从而启动完整的感染链。

从脚本到远控：感染链的完整流程

VBScript脚本在被执行后，并不会立即显示任何明显的恶意行为，而是通过一系列隐蔽的操作来绕过系统安全防护。首先，脚本会通过修改Windows注册表（Registry）来禁用用户账户控制（UAC）保护，从而降低后续恶意软件安装的权限门槛。这一步骤至关重要，因为它允许攻击者在不触发系统警告的情况下继续安装更大的恶意负载。

接下来，脚本会从攻击者的基础设施下载一个ZIP压缩包，其中包含合法的ManageEngine Endpoint Central远程管理软件。ManageEngine Endpoint Central是一款由Zoho公司开发的企业级系统管理工具，通常用于IT管理员远程管理和维护公司内的计算机。然而，攻击者将其重新打包并配置为连接到自己的恶意管理服务器，而不是官方服务器。这一策略使得攻击者能够以合法软件为掩护，实现对受害者电脑的远程控制。ManageEngine Endpoint Central在后台悄无声息地完成安装，受害者通常不会察觉到任何异常。

安装完成后，受害者的电脑将成为攻击者远程控制的“僵尸”节点。攻击者可以通过ManageEngine Endpoint Central的管理界面，完全掌控受害者电脑的文件系统、进程、网络连接，甚至可以安装额外的恶意软件。由于ManageEngine Endpoint Central本身是合法软件，许多安全软件可能不会对其行为产生警惕，从而进一步提高了攻击的隐蔽性和持久性。

全球扩散的攻击范围与潜在受害者画像

根据网络安全公司卡巴斯基的遥测数据，该攻击活动目前已在全球至少11个国家和地区被观测到，包括巴西、印度、墨西哥、新加坡、英国、西班牙、中国台湾、澳大利亚、俄罗斯、越南和马来西亚。这一广泛的地理分布表明，攻击者可能采用了自动化的分发策略，或者利用了WhatsApp用户的全球联系网络。由于WhatsApp在全球拥有超过20亿用户，且在多个国家和地区都是最受欢迎的即时通讯工具，攻击者选择这一平台作为攻击载体，显示出其对目标用户群体的精准把握。

从受害者画像来看，攻击者的目标似乎更倾向于商业用户或经常处理财务文档的用户。伪装成财务报告、账单或账户通知的文件名称，正是针对这类用户的心理弱点而设计的。例如，一名财务人员在收到一封标题为“Q4财务报告”的文件时，出于职业习惯，可能会立即下载并查看，而不会对文件的真实性产生怀疑。此外，由于攻击者通过入侵用户的WhatsApp账号来发送恶意文件，受害者往往会认为消息来自可信的联系人，从而进一步降低警惕性。因此，任何经常通过WhatsApp接收和处理商业文档的用户，都可能成为该攻击的潜在目标。

攻击者如何入侵WhatsApp账号仍是未解之谜

尽管卡巴斯基在报告中详细描述了该攻击活动的技术细节和传播方式，但对于攻击者如何入侵WhatsApp账号这一关键问题，目前仍然没有明确的答案。卡巴斯基表示，基于从多个受害者处收集的证据和提交的样本，可以确认攻击者确实已经成功入侵了多个WhatsApp账号，并利用这些账号向受害者的联系人发送恶意文件。然而，攻击者使用的确切方法仍然未知。这意味着可能存在多种可能性，例如：

• 钓鱼攻击：攻击者可能通过其他渠道（如电子邮件或短信）发送钓鱼链接，诱使用户输入WhatsApp账号和密码，从而实现账号入侵。
• 凭证填充攻击：攻击者可能利用从其他数据泄露事件中获取的用户名和密码组合，尝试登录WhatsApp账号。
• 恶意软件感染：攻击者可能通过其他恶意软件（如键盘记录器或特洛伊木马）感染用户设备，从而窃取WhatsApp账号的会话令牌或密码。
• SIM卡交换攻击：攻击者可能通过SIM卡交换（SIM swapping）手段，绕过双因素认证，直接接管WhatsApp账号。

由于WhatsApp采用端到端加密技术，攻击者无法直接窃听用户通信内容，但可以通过入侵用户的WhatsApp账号来发送恶意文件。这一现状提醒用户，即使使用加密通讯工具，也不能完全放松安全警惕。用户应定期更换密码、启用双因素认证、并警惕任何可疑的消息或文件。

系统防护的薄弱环节：UAC禁用与合法软件滥用

该攻击活动的成功在很大程度上依赖于两个系统防护的薄弱环节：用户账户控制（UAC）和合法软件的滥用。首先，VBScript脚本通过修改注册表来禁用UAC保护，从而允许恶意软件在无需用户确认的情况下安装和执行。UAC是Windows系统的一项重要安全功能，旨在提醒用户注意可能的系统更改。然而，由于UAC提示频繁出现，许多用户习惯于直接点击“允许”，从而忽略了潜在的安全风险。攻击者正是利用了这一点，通过禁用UAC来绕过这一防护层。

其次，攻击者利用了合法软件ManageEngine Endpoint Central的远程管理功能。由于该软件本身是合法的企业级工具，其行为通常不会被安全软件视为恶意。这使得攻击者能够在受害者电脑上安装并运行远程管理工具，而不被安全软件阻止。这种“以合法掩护非法”的策略，进一步提高了攻击的隐蔽性和成功率。对于安全软件厂商而言，如何有效检测和阻止此类滥用合法软件的攻击，将是未来需要面对的重要挑战。

用户防护指南：如何避免成为下一个受害者

面对这一新型钓鱼攻击，用户应采取以下具体措施来降低感染风险：

1. 提高对可疑文件的警惕性

• 任何通过即时通讯工具发送的文件，尤其是伪装成商业文件（如财务报告、账单、合同等）的文件，都应保持高度警惕。
• 即使消息来自熟人，也应通过其他渠道（如电话或视频通话）确认文件的真实性，切勿直接下载或执行。

2. 启用双因素认证（2FA）

• 为WhatsApp账号启用双因素认证，防止攻击者仅通过密码即可登录账号。
• 避免使用短信验证码作为唯一的第二因素，建议使用基于时间同步的令牌（TOTP）或硬件密钥。

3. 定期更新系统与安全软件

• 确保Windows系统和所有安全软件始终保持最新状态，以修复已知的安全漏洞。
• 启用自动更新功能，避免因疏忽而错过重要的安全补丁。

4. 限制脚本文件的自动执行

• 将Windows Script Host（wscript.exe）的默认行为更改为手动执行，避免VBScript文件在无需用户确认的情况下自动运行。
• 通过组策略（gpedit.msc）或注册表编辑器（regedit）限制脚本文件的执行权限。

5. 监控异常网络连接

• 使用网络监控工具（如Wireshark或Windows自带的资源监视器）定期检查电脑的网络连接，发现异常连接时及时断开。
• 对于企业用户，建议部署网络入侵检测系统（NIDS），实时监控并阻止恶意流量。

6. 定期备份重要数据

• 将重要文件定期备份到外部存储设备或云存储服务，确保在遭受攻击时能够快速恢复数据。
• 采用“3-2-1”备份策略，即至少保留三份备份，存储在两种不同的介质上，其中一份备份存储在异地。

企业与安全团队的应急响应建议

对于企业和安全团队而言，该攻击活动不仅是一个技术问题，更是一个组织层面的安全挑战。以下是一些具体的应急响应和预防建议：

1. 部署端点检测与响应（EDR）工具

• 部署能够检测异常进程、注册表修改和网络连接的EDR工具，及时发现并阻止恶意活动。
• 配置EDR工具的告警规则，当检测到ManageEngine Endpoint Central连接到未知服务器时，立即通知安全团队。

2. 限制远程管理软件的使用

• 对企业内使用的远程管理软件进行严格的白名单管理，仅允许经过批准的软件和服务器连接。
• 定期审计远程管理软件的配置和连接日志，发现异常时及时处理。

3. 加强员工安全意识培训

• 定期开展安全意识培训，教育员工识别钓鱼邮件和恶意文件，并报告可疑活动。
• 通过模拟钓鱼攻击测试员工的安全意识，及时发现并纠正安全薄弱环节。

4. 实施最小权限原则

• 确保员工使用的账号仅拥有执行其工作所需的最小权限，避免因权限过大而导致的安全风险。
• 对于管理员账号，启用额外的监控和审计机制，防止滥用或误用。

5. 建立事件响应计划

• 制定详细的事件响应计划，明确在遭受攻击时的响应流程和责任分工。
• 定期进行事件响应演练，确保团队能够快速有效地应对安全事件。

未来趋势与长期防护策略

随着即时通讯工具在全球范围内的普及，针对这类平台的攻击活动将继续增加。攻击者正在不断寻找新的方法来绕过安全防护，例如利用合法软件的远程管理功能、混淆脚本代码、或针对特定地区和行业的用户进行定向攻击。因此，用户和企业需要采取长期的防护策略，而不仅仅是临时的应对措施。

从长远来看，以下几个方面值得关注：

1. 提升即时通讯平台的安全性

• 即时通讯平台应加强账号安全机制，例如推广硬件密钥支持、限制自动下载文件、或增加AI驱动的异常行为检测。
• 对于企业用户，即时通讯平台可以提供更细粒度的访问控制和审计功能，帮助企业监控和管理员工的通讯行为。

2. 加强软件供应链安全

• 软件厂商应加强对其产品的安全审计和测试，防止恶意软件通过合法渠道进行分发。
• 用户和企业应优先选择经过安全认证的软件产品，并定期更新和打补丁。

3. 推广零信任安全模型

• 零信任安全模型要求对所有访问请求进行严格的身份验证和权限控制，无论请求是来自内部还是外部。
• 通过实施零信任模型，企业可以更有效地防止横向移动攻击和远程控制攻击。

4. 加强国际合作与信息共享

• 网络安全是一个全球性的挑战，需要各国政府、企业和安全研究人员的共同努力。
• 建立国际网络安全信息共享平台，及时通报新型攻击活动和防护措施，共同应对网络威胁。

结语：安全意识是最好的防线

WhatsApp钓鱼攻击的新变种再次提醒我们，网络安全威胁无处不在，且正在不断演进。攻击者利用人性的弱点——对商业文件的信任和对熟人消息的放松戒备——来实现其恶意目的。因此，无论是个人用户还是企业，提升安全意识都是最有效的防护手段。

记住，任何看似普通的文件或消息都可能隐藏危险。保持警惕、验证来源、及时更新系统和软件、定期备份数据，这些看似简单的措施，却能在关键时刻挽救你的数字生活。在数字化时代，安全不仅仅是技术问题，更是一种生活方式。