详细内容或原文请订阅后点击阅览
微软警告不要打开 WhatsApp 消息
如何避免社会工程攻击?员工培训位居榜首请小心您点击的内容。不法分子在多阶段攻击中滥用 WhatsApp 消息,传递恶意 Microsoft 安装程序 (MSI) 软件包,使犯罪分子能够控制受害者的计算机并访问其所有数据。
来源:The Register _恶意软件请小心您点击的内容。不法分子在多阶段攻击中滥用 WhatsApp 消息,传递恶意 Microsoft 安装程序 (MSI) 软件包,使犯罪分子能够控制受害者的计算机并访问其所有数据。
据我们所知,该活动于 2 月底开始,攻击链始于一条传递恶意 Visual Basic Script (VBS) 文件的 WhatsApp 消息。我们不确定该骗局的社会工程部分到底是如何运作的——我们已向雷德蒙德询问更多细节,如果我们收到任何细节,我们将更新这个故事。
The Register 还联系了 Meta 旗下的 WhatsApp 征求意见,但没有收到回复。
但攻击者以某种方式诱骗消息接收者在其系统上执行恶意文件。他们可能使用受损的 WhatsApp 会话来执行此操作,以便该消息看起来来自受害者的现有联系人之一。或者,他们用包含紧迫感的诱惑来轰炸用户,促使收件人匆忙打开文件。
执行后,恶意脚本会在 C:\ProgramData 中创建隐藏文件夹,并删除合法 Windows 实用程序的重命名版本 - 例如,curl.exe 重命名为 netapi.dll,bitsadmin.exe 重命名为 sc.exe。
将合法的 Windows 工具用于邪恶目的,使得攻击者能够混入正常的网络活动 - 防御者称之为“靠山为生” - 但不法分子在重命名这些二进制文件时确实犯了一个错误。
“值得注意的是,这些重命名的二进制文件保留了其原始 PE(可移植可执行文件)元数据,包括仍将它们标识为curl.exe 和bitsadmin.exe 的 OriginalFileName 字段,”微软研究人员在周二的博客中写道。 “这意味着 Microsoft Defender 和其他安全解决方案可以利用这种元数据差异作为检测信号,标记文件名与其嵌入的 OriginalFileName 不匹配的实例。”