微软安全团队盯上一个新把戏。攻击者从2026年2月底起,用WhatsApp消息扔恶意VBS脚本。用户一双击,麻烦就来了。脚本悄无声息建隐藏文件夹,就搁C:\ProgramData里。里面塞重命名工具:curl.exe变netapi.dll,bitsadmin.exe变sc.exe。纯正Windows原生货,重命名后难辨真假。
感染起步快。脚本拉辅助VBS文件,从AWS S3、腾讯云、Backblaze B2下载。云服务正品,流量混在正常网流中。谁查都像合法访问。下载完,恶意玩意儿开始动UAC手脚。User Account Control,本该拦高权限操作,现在被改设置。病毒反复试跑cmd.exe,要提权。成败看运气,失败就重试,直到用户关进程或成功。
权限到手,改注册表。路径HKLM\Software\Microsoft\Win,嵌入持久机制。重启电脑,病毒还活着。下一步推无签名MSI安装包。里面藏AnyDesk,正牌远程工具。攻击者上线,偷数据或再扔病毒。整个链条,社会工程加本土工具。WhatsApp送货,诱饵不明,但点开就中。
微软点明杀伤力。重命名工具隐身,隐藏属性加持,云端藏payload。UAC绕过不需用户点“是”,全自动。普通用户防不住。企业网更惨,AnyDesk上线等于后门大开。数据外泄,勒索软件跟进,都可能。攻击者爱这套,成本低,成功率高。
想想Windows用户基数。全球十几亿台,WhatsApp日活20亿。交叉重合一大堆。手机点开脚本,转Windows执行,跨平台无缝。微软 Defender团队追踪这波,称结合社会工程和“活在土地上”技巧。啥叫活在土地上?就用系统自带工具,不带自家病毒,杀软难抓。
细节再挖深。VBS执行后,第一波建文件夹。netapi.dll(真curl)拉云文件,sc.exe(真bitsadmin)管下载。二级payload到位,UAC弱化启动。改注册,确保永生。MSI包里不止AnyDesk,可能更多。微软没全公布,留悬念给研究者。
用户咋防?别点WhatsApp陌生脚本。VBS文件伪装文档或工具,文件名诱人。Windows默认藏扩展,看不清。开启UAC全严模式,改注册难。杀软更新,微软 Defender已加签名。企业上零信任,网关拦WhatsApp附件。
这事儿戳中痛点。云服务被滥,AWS腾讯都中枪。攻击者免费桶存病毒,CDN加速。Windows UAC老毛病,补丁跟不上。2026年了,还用这招,说明有效。黑客懒得创新,老路走通。
加密圈用户警醒。钱包软件常接WhatsApp群,钓鱼多。BTC现报$67,305(24h -0.77%),ETH $2,101(24h +0.40%)。行情晃荡,私钥丢了更惨。这种VBS链,远程控机,钱包扫荡分分钟。转币地址一改,资产蒸发。
微软这警告及时。早盯上,防扩散。攻击者下一步?可能升级诱饵,瞄手机端。用户醒醒,别当靶子。安全第一,点前三思。