详细内容或原文请订阅后点击阅览
微软警告称,Windows 版 WhatsApp 用户成为新活动的目标
Microsoft 向 Windows 版 WhatsApp 用户发出警告,称该活动正在进行中,试图获得对您计算机的永久访问权限
来源:Malwarebytes Labs 博客微软研究人员发现了一个滥用 WhatsApp 附件将脚本潜入 Windows 计算机的活动,这将导致攻击者获得远程控制权。
WhatsApp 提供适用于 Windows 和 macOS 的桌面应用程序,用户可以将其与移动设备同步。 WhatsApp 的桌面版本通常用作移动应用程序的扩展,而不是主要平台。因此,尽管这些应用程序被广泛使用,但与移动平台相比,它们的采用率可能要低得多。
去年,我们撰写了有关 Meta 关闭一个漏洞的文章,该漏洞允许攻击者在 Windows 系统上运行任意代码,该漏洞存在于 2.2450.6 之前的所有 WhatsApp 版本中。
然而,微软发现的攻击完全基于社会工程。目标会收到一个看起来无害的 WhatsApp 附件,但它实际上是一个 Windows 可以执行的 .vbs(Visual Basic 脚本)文件。
如果攻击者设法说服受害者在 Windows 上运行该文件,该脚本会将内置 Windows 工具复制到隐藏文件夹中,并为它们提供误导性名称,以便乍一看它们看起来无害。
这些工具本身是合法的,但它们被滥用来下载恶意软件。一种经典的陆上生活 (LOTL) 技术,它使用系统上已有的内容,而不是引入在扫描中拾取的恶意软件二进制文件。
接下来的脚本是从流行的云提供商处提取的,因此网络流量看起来像是对 AWS、腾讯云或 Backblaze 的正常访问,而不是一些会引发危险信号的可疑服务器。
为了关闭其他可能的警报,恶意软件不断尝试将自身提升为管理员,然后调整 UAC(用户帐户控制)提示和注册表设置,以便它可以默默地进行系统级更改并在重新启动后持续存在。
如何保持安全
对于家庭用户和小型企业,有一些实际步骤可以确保安全: