紧急扩散!搞钱新套路:你以为的熟人发文件,其实是黑客在用你的WhatsApp疯狂拉下线……

admin 2026-06-30 08:55:04 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 卡巴斯基于2026年6月22日曝光一起针对WhatsApp用户的全球性网络攻击活动,黑客通过盗取账号向联系人静默投递伪装成财务报表的.vbs脚本文件。受害者点击后,病毒利用系统工具下载恶意载荷、降低UAC权限并静默安装合法的ManageEngineEndpointCentral远程控制软件,使黑客获得电脑完全控制权。报告发现代码中含简体中文注释但评估为低置信度栽赃。建议用户勿点击.vbs等可执行文件、多渠道验证发件人身份,企业IT需排查相关进程。 综合评分: 88 文章分类: 恶意软件,社会工程学,安全意识,应急响应,应用安全


cover_image

紧急扩散!搞钱新套路:你以为的熟人发文件,其实是黑客在用你的 WhatsApp 疯狂拉下线……

原创

很近也很远 很近也很远

网络研究观

2026年6月23日 06:16 福建

在小说阅读器读本章

去阅读

这两天,经常用国外即时通讯软件跟海外客户、朋友沟通的跨境电商、外贸从业者,或者留学生们,可能要提高一百倍的警惕了。

就在 2026 年 6 月 22 日,国际知名安全机构卡巴斯基(Kaspersky)紧急曝光了一个正在全球疯狂蔓延的恶性网络攻击活动。黑客这次把黑手伸向了全球拥有数十亿用户的社交巨头——WhatsApp

最让人防不胜防的是,这次的攻击手段极其阴险:黑客不需要用花言巧语来骗你,甚至不需要跟你说一句话。他们直接潜伏在你最信任的朋友、客户或合作伙伴的账号背后,用他们的身份给你丢过一个“财务报表”文件。只要你随手一点,你的电脑就已经变成了黑客的远程“肉鸡”!

目前,全球已经有大批用户惨遭毒手,其中马来西亚甚至占到了感染病例的 80%。这究竟是怎样一个披着“熟人外衣”的恐怖陷阱?今天我们就来彻底扒开这个正在席卷全球的 WhatsApp 病毒大案。

一、 诡异的“静默投递”:连一句“在吗”都没有的生死文件

普通的网络钓鱼,黑客好歹还会冒充客服,或者编瞎话对你威逼利诱。但这次由卡巴斯基安全实验室发现的黑客团伙,走的是“极致的高冷路线”。

根据受害者的反馈,他们的 WhatsApp 会突然收到一条来自熟人、老客户或者好友的消息。打开一看,对方一句话也没说,没有寒暄,没有解释,只是孤零零地发过来一个文件附件。

黑客精明就精明在,他们完美利用了人与人之间的“信任红利”。

你一看,发信息的是天天跟你对账的客户,或者是同组的同学,你很自然地会认为:“哦,估计是他顺手把开会资料或者表格发过来了。”

而这些文件的命名,更是直戳打工人和商务人士的软肋:

  • 💼 财务报告.vbs
  • 📊 账户报表.vbs
  • 📝 未付账款清单.vbs

为了把网撒得更宽,黑客还贴心地准备了多国语言本地化定制版。除了中文、英文,还有葡萄牙语、法语、德语、马来语等多个版本。根据受害者用什么语言沟通,黑客就会自动投喂对应语言命名的文件。

这一招“静默投递”,让无数毫无戒备之心的用户啪嗒一下,就把文件下载并双击打开了。

二、 连环套内幕:点开那秒钟,你的电脑经历了什么?

这次攻击活动主要针对的是 WhatsApp 桌面版(电脑客户端)和网页版的用户。因为手机系统通常无法直接运行这种电脑脚本,但对 Windows 电脑来说,这就是一场降维打击。

当你双击那个看起来像文档、实际后缀是 .vbs(VBScript 脚本)的文件时,电脑后台的一场大地震就悄然爆发了。

黑客的攻击过程被设计成了精密的“三步连环套”:

[第一步:激活内鬼]👉用户双击 .vbs 文件,Windows 脚本宿主(WScript.exe)在后台悄悄启动      👇[第二步:疯狂伪装]👉病毒调用系统自带的合法工具(如 PowerShell、curl 等),躲过杀毒软件,偷偷下载第二阶段毒药      👇[第三步:反客为主]👉修改系统安全设置(UAC),在后台静默安装企业级远程控制软件,黑客正式接管电脑

第一套:瞒天过海

#

这个不到几百 KB 的小脚本里,被黑客塞满了各种混淆技术。里面有大量毫无意义的垃圾代码、随机生成的古怪变量名、以及被拆得七零八落的字符串。杀毒软件扫描它时,会觉得这只是一段写得比较烂的普通脚本,从而大摇大摆地放行。

第二套:反客为主

#

脚本一旦运行,就会调用 Windows 电脑自带的合法程序(比如 curl.exe 或 certutil.exe),神不知鬼不觉地在你的 C:\Users\Public\Documents\ 目录下创建一个隐藏文件夹,然后从黑客的服务器上下载一个 ZIP 压缩包。

这个压缩包里包含两个恶意 VBScript 文件。其中一个最坏的动作,是疯狂尝试修改你电脑的 UAC(用户帐户控制)设置

什么是 UAC?就是平时你安装软件或运行重要程序时,电脑屏幕突然一暗,弹出来问你“是否允许此应用更改你的设备”的那个提示框。

病毒会把这个提示级别强行调低。这意味着,此后黑客在你的电脑里干任何坏事、装任何流氓软件,你的电脑再也不会弹窗警告你了

第三套:合法控制

#

最后,病毒会使出它的终极杀招——静默安装一款名为 ManageEngine Endpoint Central 的软件。

讽刺的是,这根本不是什么病毒,而是一款完全合法、正规的企业级远程终点管理平台。平时都是大公司的 IT 网管用来给员工电脑批量装软件、修电脑、提供远程技术支持的。

黑客把这款正规软件的安装包和证书打包放进病毒里,通过后台命令行默默运行。当它安装成功的那一刻,黑客就摇身一变,成了你电脑的“超级网管”。 他们可以大摇大摆地坐在屏幕另一头,看你的屏幕、偷你的密码、甚至转走你的财产,而你和杀毒软件都以为这只是普通的“系统维护”。

三、 谁是幕后黑手?神秘的“中国风”注释

在卡巴斯基对这起全球扩散的病毒案进行深度逆向分析时,安全专家们发现了一个非常诡异的细节。

在黑客编写的恶意 VBScript 代码底层,竟然发现了大量用“简体中文”写的代码注释和备注。

这是否意味着幕后黑手就是国内的某些黑客呢?卡巴斯基在报告中给出了一个非常耐人寻味的“低置信度”评估:他们认为,这次攻击大概率并不是由讲中文的黑客干的。

网络安全圈有一句老话,叫“栽赃嫁祸是黑客的必修课”。很多国际黑客团伙在开发病毒时,故意去开源社区抄一段带有中文注释的代码,或者故意用翻译软件把注释翻译成中文丢进代码里,目的就是为了混淆视听,把安全人员的视线引向东方,自己则在幕后数钱。

目前,这批黑客的管理服务器 IP 地址,被发现此前曾与臭名昭著的 ValleyRAT 和 Gh0st RAT 灰产基础设施有关联,全球受害者名单正在像滚雪球一样越来越大。

四、 紧急自救:海外聊天软件的生存法则

网络社交带来的便利,正在成为黑客手里的最强武器。面对这种利用“熟人信任”在 WhatsApp 上疯狂盲打的病毒,我们该如何保全自己?

请立刻把以下 “防毒三铁律” 牢记在心:

1. 斩断对 .vbs.exe.scr 等脚本和可执行文件的信任

在社交软件上,熟人发来图片、PDF、Word 并不稀奇。但如果对方莫名其妙发来一个以 .vbs 结尾的文件,不管他是谁,哪怕是你亲妈,也绝对不要去点开它!正常人沟通交流是不会用到脚本文件的。

2. 多渠道二次验证

如果你在 WhatsApp 上收到了熟人发来的意外文件(特别是没有任何文字解释的),请立刻通过微信、电话或者视频跟对方说一句:“你刚才是不是给我发文件了?”相信我,绝大多数情况下,对方会一脸懵逼地告诉你:“啊?我没发啊,我微信/外贸账号刚才好像被盗了!”

3. 企业网管注意排查进程

如果你是公司的 IT 负责人,请立刻监控公司内网电脑的运行情况。重点排查是否有员工电脑在未经授权的情况下,私自启动了 Endpoint Central 代理(UEMSAgent.msi)或修改了系统的 UAC 提示策略。

写在最后:当信任被当成“代码”去黑

这次 WhatsApp 爆发的 VBScript 病毒事件,再次给我们敲响了警钟。

现在的黑客,已经不满足于去死磕那些固若金汤的系统漏洞了。他们发现,攻击一个系统的漏洞,远不如攻击“人性的漏洞”来得高效。

他们盗取一个账号,不是为了看里面的聊天记录,而是为了继承这个账号主人生前积攒的所有“人际信任”。当这份信任变成黑客发射病毒的炮弹,我们唯一能做的,就是收起那份“因为是熟人所以无所谓”的粗心大意。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网络研究观 很近也很远 很近也很远《紧急扩散!搞钱新套路:你以为的熟人发文件,其实是黑客在用你的 WhatsApp 疯狂拉下线……》

评论:0   参与:  0