透過即時通訊軟體或協作平臺散布惡意軟體的活動,最近兩至三年有越來越頻繁的趨勢,其中,濫用WhatsApp的活動相當值得留意,因為攻擊者可能還會搭配合法工具,使得相關活動更難察覺。
微軟揭露透過WhatsApp訊息接觸使用者的攻擊活動,駭客藉由傳送惡意Visual Basic Script(VBS)檔案,試圖於受害電腦啟動多階段感染鏈,目的是建立能夠持續存取的管道,並啟動遠端存取的機制。
這起事故發生於今年2月下旬,駭客結合社交工程與寄生攻擊(LotL)手法,將正常的Windows公用程式curl.exe與bitsadmin.exe,重新命名為netapi.dll和sc.exe,並試圖融入系統環境的運作。接著,攻擊者從AWS、騰訊雲,以及Backblaze B2等雲端服務擷取有效酬載,最終透過惡意MSI安裝檔維持對系統的控制。
微軟特別提到,一旦有效酬載載入,惡意軟體就會試圖竄改使用者帳號控制(UAC)設定,並反復藉由提升後的權限執行CMD,確認是否成功繞過UAC的管制。
