微软呼吁关注1项新的社会工程学攻击，原理是利用WhatsApp消息分发恶意VBS文件，从而持久化权限维持

事件起始时间描述
该活动从2026年2月下旬开始，利用这些脚本启动多阶段感染链，以建立持久性并实现远程访问。


“这场运动依赖于社会工程和非土地技术的结合，”微软防御安全研究小组说。它使用重命名的Windows应用工具来融入正常的系统活动，从AWS、腾讯云和Backblaze B2等受信任的云服务中检索有效负载，并安装恶意的Microsoft Installer (MSI)软件包来保持对系统的控制权。



攻击方式
使用合法工具和可信平台是一种致命的组合，因为它允许威胁参与者混入正常的网络活动，并增加了他们攻击成功的可能性。

该活动始于攻击者通过WhatsApp消息分发恶意VBS文件，当执行这些文件时，会在“C:\ProgramData”中创建隐藏文件夹，并删除合法Windows实用程序的重命名版本，如“curl.exe”(重命名为“netapi.dll”)和“bitsadmin.exe”(重命名为“sc.exe”)。


在获得最初的立足点后，攻击者的目标是建立持久性并提升权限，最终在受害者系统上安装恶意的MSI软件包。

这是通过使用重命名的二进制文件下载托管在AWS S3、腾讯云和Backblaze B2上的辅助VBS文件来实现的。

“一旦二级有效载荷到位，恶意软件就开始篡改用户账户控制(UAC)设置，以削弱系统防御，”雷德蒙说。

它不断尝试以提升的权限启动cmd.exe，重试直到UAC提升成功或进程被强制终止，修改HKLM \软件\微软\Win下的注册表项，并嵌入持久性机制以确保感染不会在系统重新启动后继续存在


这些操作允许威胁参与者通过注册表操作和UAC绕过技术的组合，在没有用户交互的情况下获得提升的权限，并最终部署未签名的MSI安装程序。

这包括像AnyDesk这样的合法工具，它们为攻击者提供持久的远程访问，使攻击者能够泄漏数据或部署更多恶意软件。

“这场运动展示了1个复杂的感染链，结合了社交工程(WhatsApp交付)、隐形技术(改名为合法工具、隐藏属性)和基于云的有效载荷托管，”微软表示。