駭客透過WhatsApp散布惡意軟體,試圖繞過UAC防護機制
一句話版本
呢單事提醒我哋:攻擊者而家會直接用 WhatsApp 做入口,再借 Windows 內建工具同合法雲端服務落惡意程式,令一般使用者同防守方都更難第一時間察覺。
點解重要
- 攻擊入口變咗去即時通訊軟體:以往大家比較聚焦電郵釣魚,但而家連 WhatsApp 呢類日常溝通工具都成為投遞點,代表員工平時覺得「冇咁危險」嘅通道,其實已經變成高風險面。
- 社交工程仍然係成功關鍵:今次唔係靠高難度漏洞起手,而係靠人會開附件。對我哋嚟講,最薄弱位未必係系統本身,而係使用者對訊息來源同附件型態嘅判斷。
- VBS 仍然有實戰價值:即使 Visual Basic Script 聽落去好舊,但只要終端環境仲容許執行,攻擊者就可以用佢做第一段載入器,反映「舊技術未退場」呢件事唔可以忽視。
- 攻擊鏈係多階段,唔係單一檔案問題:由訊息、腳本、下載工具、雲端載荷,到最後 MSI 安裝,表示如果我哋只靠單點偵測,往往只會見到其中一段,難以還原全貌。
- LotL 手法令告警噪音更難分辨:攻擊者濫用
curl.exe、bitsadmin.exe呢啲正常 Windows 工具,意思係「有執行系統工具」本身唔再夠做判斷,偵測邏輯要睇上下文同行為鏈。 - 重新命名合法工具會削弱表面檢查:將正常程式改名做似 DLL 或系統元件,會令只靠檔名、路徑印象或者人工快速掃描嘅做法失效,亦增加現場排查成本。
- 合法雲端服務被濫用,令封鎖策略變難:AWS、騰訊雲、Backblaze B2 呢類服務平時可能本身就在企業環境合法使用,代表單靠網域封鎖未必可行,仲可能誤傷業務流量。
- UAC 繞過意圖代表攻擊者目標係穩定控制權:一旦成功提升權限,之後可以做嘅事會多好多,包括持久化、橫向移動、關閉防護。重點唔只係「有 malware」,而係佢想攞到更高操作權。
- 反覆測試提升後 CMD 反映攻擊有明確自我驗證:呢種行為唔係亂撞,係一步步確認是否成功突破限制,說明攻擊鏈設計成熟,唔係臨時拼湊。
- MSI 被用作持續控制手段,表示安裝流程都係風險面:好多環境對安裝程式比腳本更寬鬆,若缺乏安裝來源與簽章控管,攻擊者就容易借正常部署習慣掩護。
- 事件發生時間近,代表呢種手法未必係舊聞重炒:微軟講到係 2026 年 2 月下旬觀察到,顯示呢類組合式手法仍然活躍,唔適合當成過時攻擊劇本。
- 偵測難點在於「每一步都似正常」:通訊軟體、Windows 工具、雲端儲存、安裝檔,全部都係日常會見到嘅元素,真正危險之處係佢哋被串成一條惡意流程。
我哋點睇
- 如果我哋要設計 OpenClaw 呢類控制與驗證流程,唔可以只食單一告警;要能夠把「聊天工具附件」「腳本啟動」「系統工具下載」「雲端來源」「權限提升嘗試」串成同一條任務證據鏈。
- 對營運面最實際嘅啟示係:針對
wscript/cscript、bitsadmin、異常msi安裝、UAC 相關設定變更,應該優先做關聯監控,而唔係逐條規則各自為政。 - 教育同流程上都要更新假設:員工收到 WhatsApp 附件唔應再被視為「私人通訊範圍所以風險較低」,而係要當成正式釣魚入口去處理。