文章总结： 一场新的恶意软件活动通过WhatsApp传播，利用伪装成财务文件的VBScript附件攻击Windows用户。攻击者通过受控账户发送消息，诱骗收件人运行脚本后，会禁用用户账户控制(UAC)并安装合法的远程管理工具，从而获得对受害者系统的完整远程访问权限。马来西亚受影响最严重，建议用户避免打开未知附件，特别是VBS、EXE等类型文件，并保持系统安全设置更新。 综合评分： 90 文章分类： 恶意软件,网络安全,终端安全

黑客通过 WhatsApp 攻击 Windows 系统

亮哥亮哥 亮哥亮哥

信安社群

2026年6月23日 20:11 广东

在小说阅读器读本章

去阅读

请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注！

一场新的且活跃的恶意软件活动正在 WhatsApp 上蔓延，目标是十多个国家的普通 Windows 用户。

该威胁利用伪装成常规财务文件的恶意脚本文件，诱使人们在自己的机器上运行有害代码。

文件打开后，会引发一连串事件，最终攻击者获得了对受害者系统的完整远程访问权限。

马来西亚受影响最严重，约占所有记录的感染病例的 80%。Securelist 的研究人员对该活动进行了详细识别和分析。

根据 Securelist 与网络安全新闻（CSN）分享的报道，该活动背后的威胁者获得了真实的 WhatsApp 账户访问权限，并利用这些账户悄无声息地向被攻破联系人名单中的所有人发送恶意附件。

由于这些消息似乎来自已知联系人，收件人更有可能在不引起怀疑的情况下打开。

附件是 VBScript 文件，这是一种 Windows 可以通过内置工具 Windows Script Host 自动运行的脚本。

这些文件上有“Financial Reports.vbs”、“Debt Statement.vbs”和“Account Statement.vbs”这样的名称，还有葡萄牙语、法语、德语和马来语版本。

这种多语言的做法强烈表明该运动旨在同时接触多个地区的受害者。

这次攻击的突出之处在于它使用了合法软件作为最终有效载荷。攻击者没有部署传统的病毒或数据窃取工具，而是在受害者的机器上安装了真正的远程管理工具。

这使得攻击者能够像企业 IT 团队一样控制被感染的系统，从而大大降低检测的难度。

感染从用户在 WhatsApp 桌面端或通过 WhatsApp Web 浏览器打开 VBScript 附件的那一刻开始。

脚本通过 Windows 脚本主机静默启动，立即开始为进一步的攻破做准备。

它会在公共文档目录下创建一个隐藏文件夹，使用像“MSUpdate_random”这样的随机名称以避免引起注意。

随后，第一个脚本从攻击者控制的服务器下载两个额外的脚本文件。其中第一个是尝试修改一个称为用户账户控制（User Account Control）的 Windows 安全设置，该设置通常会在系统重大更改前提醒用户。

将此保护设置为零，攻击者会清除第二个脚本安装软件的路径，且屏幕上不会出现任何提示。

第二个下载脚本获取一个 ZIP 压缩包，内含一个完全预配置的远程管理代理安装包。

一旦解压并执行，该包会通过 Windows 安装程序静默安装自己 ，并重新连接到攻击者控制的服务器。此时，攻击者就能持续且安静地远程访问受害者机器上的所有设备。

强烈建议用户避免打开通过 WhatsApp 收到的任何附件，即使是来自已知联系人的，除非文件已通过其他渠道验证。

VBS、VBE、EXE、BAT、CMD、JS 和 PS1 等文件类型在未经独立确认的情况下绝不应打开。

保持 Windows 安全设置完整并运行当前的终端保护，可以显著降低成为此类活动受害者的风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安社群 亮哥亮哥 亮哥亮哥《黑客通过 WhatsApp 攻击 Windows 系统》