文章总结： 黑客通过WhatsApp传播伪装成商业文档的VBScript文件，利用社交工程诱骗用户执行，最终安装合法的ManageEngineRMM软件以获取系统远程访问权限。该活动针对多国用户，攻击链涉及多阶段VBScript负载下载，且与历史恶意活动存在基础设施重叠。建议用户对未知附件保持警惕，避免直接执行脚本或可执行文件。 综合评分： 89 文章分类： 恶意软件,社会工程学,漏洞预警,终端安全

WhatsApp VBScript活动使用假文档安装ManageEngine RMM工具

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年6月23日 17:18 北京

在小说阅读器读本章

去阅读

通过WhatsApp发送的直接消息被用来传播恶意的Visual Basic Script （VBScript）文件，导致安装合法的远程监控和管理（RMM）软件。

根据卡巴斯基的调查结果，活跃的攻击活动针对的是马来西亚、巴西、印度、墨西哥、新加坡、英国、西班牙、台湾、澳大利亚、俄罗斯和越南的WhatsApp Desktop和WhatsApp Web用户。据报道，受害者最集中的地区是马来西亚。

安全研究员法里德·拉齐说：“黑客利用具有欺骗性的文件名伪装成商业和财务文件，说服收件人下载并执行附件。”一旦执行，VBScript启动一个多阶段的感染链，最终导致安装合法的远程监控和管理（RMM）软件，使远程访问受害者的系统。

人们怀疑，该行动背后的威胁行为者设法秘密访问了几个WhatsApp账户，然后将其用作在其联系人之间传播VBScript文件的媒介。也就是说，这些账户究竟是如何被入侵的尚不清楚。

严重混淆的VBScript文件被伪装成看似无害的商业和财务文件，使用诸如“财务报告。vbs”或“账户报表。vbs”之类的名称；有些文件还以其他语言命名，如葡萄牙语、法语、德语和马来语，反映了该活动的全球性质

“此外，VBScript样本包含大量注释和元数据，旨在模仿合法的微软Windows Update组件，”卡巴斯基解释说。许多评论都是用中文写的，包括对Windows Update模块、证书验证、系统完整性检查和部署相关功能的参考。

使用“WScript.exe”启动VBScript文件，然后获取并运行下一阶段攻击所需的附加VBScript组件。值得注意的是，感染链的行为略有不同，这取决于受害者是使用WhatsApp Web还是WhatsApp Desktop应用程序。

在前一种情况下，攻击依赖于用户将文件下载到他们的系统，然后从下载的文件夹或通过浏览器的下载历史打开它，假设它是一个合法的文档。在WhatsApp Desktop中，恶意软件直接在应用程序中执行，进程树显示与客户端应用程序相关的后台进程“WhatsApp. root .exe”负责生成“WScript.exe”。

VBScript的主要目标是从远程服务器下载两个次要的VBScript有效负载，其中一个试图篡改Windows用户账户控制（UAC）行为，而另一个下载并执行包含ManageEngine RMM Central安装包的ZIP文件。

该活动仍未确定原因，然而，这家俄罗斯网络安全公司表示，它发现基础设施与先前与Gh0st RAT和ValleyRAT相关的活动有重叠（”202.61.160[.]201″）。

卡巴斯基说：“用户在通过WhatsApp收到意外附件时应保持谨慎，即使这些附件似乎来自已知联系人。”脚本和可执行文件类型，如VBS、VBE、EXE、BAT、CMD、JS和PS1，除非其合法性已被独立验证，否则不应打开。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HackSee安全生活 HackSee安全团队 HackSee安全团队《WhatsApp VBScript活动使用假文档安装ManageEngine RMM工具》