1. 首頁 > 生活百科 > >

微軟警告用戶不要隨意打開WhatsApp消息

網絡安全msi微軟Whatsapp惡意軟件

微軟警告用戶不要隨意打開WhatsApp消息

要小心點擊的內容 。 惡意分子正在濫用WhatsApp消息進行多階段攻擊 , 傳播惡意的Microsoft安裝程序(MSI)包 , 使犯罪分子能夠控制受害者的計算機并訪問他們的所有數據 。

據悉 , 這場攻擊活動始于2月下旬 , 攻擊鏈從WhatsApp消息開始 , 傳播惡意的Visual Basic腳本(VBS)文件 。 我們還不確定該騙局的社會工程學部分是如何運作的——我們已經向微軟詢問了更多細節 , 如果收到任何信息 , 我們將更新這個故事 。
但攻擊者以某種方式誘騙消息接收者在其系統上執行惡意文件 。 他們可能使用被入侵的WhatsApp會話來做到這一點 , 使消息看起來來自受害者現有的聯系人之一 。 或者他們向用戶發送包含緊迫感的誘餌 , 促使接收者匆忙打開文件 。
一旦執行 , 惡意腳本會在C:\\ProgramData中創建隱藏文件夾 , 并放置重命名版本的合法Windows實用程序——例如 , curl.exe重命名為netapi.dll , bitsadmin.exe重命名為sc.exe 。
使用合法的Windows工具進行惡意目的允許攻擊者與正常網絡活動融合——防御者稱之為\"就地取材\"——但惡意分子在重命名這些二進制文件時犯了一個錯誤 。
\"值得注意的是 , 這些重命名的二進制文件保留了它們原始的PE(可移植可執行文件)元數據 , 包括仍然將它們標識為curl.exe和bitsadmin.exe的OriginalFileName字段 , \"微軟研究人員在周二的博客中寫道 。 \"這意味著Microsoft Defender和其他安全解決方案可以利用這種元數據差異作為檢測信號 , 標記文件名與其嵌入的OriginalFileName不匹配的實例 。 \"
犯罪分子使用重命名的二進制文件從受信任的云服務(包括AWS、騰訊云和Backblaze B2)下載輔助VBS有效負載(auxs.vbs、2009.vbs) 。 同樣 , 這使得區分正常企業活動和惡意下載變得更加困難 。
然后 , 惡意軟件修改用戶賬戶控制(UAC)設置 , 嘗試以提升的權限啟動cmd.exe , 直到成功(意味著惡意軟件將在系統重啟后存活)或進程被強制終止 。
最后 , 攻擊者部署惡意MSI安裝程序 , 微軟表示這些包括Setup.msi、WinRAR.msi、LinkPoint.msi和AnyDesk.msi 。 再一次 , 壞人使用像AnyDesk這樣的真實工具——而不是定制惡意軟件——來隱藏在眾目睽睽之下 。
然而 , 最終有效負載都沒有簽名 , 這應該是防御者正在處理惡意軟件而不是合法企業軟件的另一個指示 。
這些安裝程序為攻擊者提供對受害者系統的遠程訪問 , 因此他們可以竊取數據、在受損系統上部署更多惡意軟件(如勒索軟件) , 或使用受感染的機器作為更大網絡的一部分來發起其他攻擊 。
雖然微軟的博客包含了幾個建議 , 指導人們使用他們的安全產品來避免這種類型的妥協 , 但我們特別喜歡的一個供應商中立的建議涉及教育用戶如何識別社會工程學活動 。
\"培訓員工識別可疑的WhatsApp附件和意外消息 , 強化即使熟悉的平臺也可能被利用來傳播惡意軟件 , \"微軟建議道 。
WhatsApp發言人拒絕回答《The Register》關于這次活動的具體問題 。 他們確實提醒任何消息服務的用戶只點擊來自他們認識和信任的人的鏈接或打開文件 , 并鼓勵用戶阻止和報告任何可疑消息 。
【微軟警告用戶不要隨意打開WhatsApp消息】此外 , 對于面臨目標攻擊風險較高的用戶 , 這個消息應用推出了嚴格賬戶設置 。 這是一個類似鎖定的功能 , 用戶可以通過進入設置>隱私>高級來開啟 。 它會自動靜音未知呼叫 , 阻止來自未知用戶的附件 , 并阻止鏈接預覽 。
4月1日更新 , 包含WhatsApp的回應 。
Q&A
Q1:這個WhatsApp惡意軟件攻擊是如何運作的?
A:攻擊從WhatsApp消息開始 , 傳播惡意VBS文件 。 攻擊者可能使用被入侵的WhatsApp會話 , 使消息看起來來自受害者的聯系人 , 或發送緊迫性誘餌促使用戶打開文件 。 一旦執行 , 惡意軟件會創建隱藏文件夾 , 重命名合法Windows工具 , 然后下載更多惡意負載 。
Q2:攻擊者為什么要重命名合法的Windows工具?
A:攻擊者重命名curl.exe和bitsadmin.exe等合法Windows工具是為了與正常網絡活動融合 , 這種技術叫\"就地取材\" 。 但他們犯了錯誤 , 重命名的文件仍保留原始元數據 , Microsoft Defender等安全解決方案可以利用這種差異來檢測惡意活動 。
Q3:如何防護這種WhatsApp惡意軟件攻擊?
A:微軟建議培訓員工識別可疑的WhatsApp附件和意外消息 。 用戶應只點擊來自認識和信任的人的鏈接或文件 , 阻止和報告可疑消息 。 WhatsApp還為高風險用戶提供嚴格賬戶設置功能 , 可自動靜音未知呼叫并阻止未知用戶的附件 。

    推薦閱讀