文章总结： 卡巴斯基报告披露针对WhatsApp用户的全球钓鱼攻击，攻击者通过入侵账户发送伪装成商务文档的VBScript文件，诱骗受害者执行后禁用UAC保护并安装ManageEngineEndpointCentral实现远程控制。该活动已波及巴西、印度等十国，疑似与中文威胁行为者有关。建议用户对可疑文件保持警惕并通过二次验证、防病毒扫描加强防护。 综合评分： 82 文章分类： 恶意软件,钓鱼攻击,应急响应,威胁情报,安全意识

【安全圈】WhatsApp 钓鱼攻击利用虚假商务文档入侵 PC

安全圈

2026年6月23日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

钓鱼攻击

一场正在进行的恶意软件活动正针对多个国家的 WhatsApp 用户，发送带有欺骗性消息的 VBScript 文件，最终导致远程系统访问。

威胁行为者使用的文件名暗示是商务和财务文档，由受害者的联系人（其账户已被入侵）发送。

收件人下载并执行恶意附件后，会启动一条感染链，最终安装合法的 ManageEngine Endpoint Central，该软件被 IT 管理员用于从集中式仪表板管理系统。

来自网络安全公司 Kaspersky 的遥测数据显示，该活动蔓延至巴西、印度、墨西哥、新加坡、英国、西班牙、澳大利亚、俄罗斯、越南和马来西亚。

攻击链

Kaspersky 报告称，攻击始于从被入侵账户发送的消息，这些消息仅包含一个高度混淆的 VBS 文件。

这些文件被赋予看起来像是财务报告、账单明细、账户通知及类似文档的名称，很可能吸引目标的注意力并促使其打开文件。

文件名还使用了多种语言本地化，进一步证实了该活动的全球范围。

Kaspersky 解释道：“根据通过社交媒体报告和提交的样本从多个受害者收集的证据，我们可以得出结论，威胁行为者已获得多个 WhatsApp 账户的访问权限，并利用它们向被入侵用户联系人列表中的联系人分发恶意 VBScript 文件。”

“在撰写本文时，用于入侵这些 WhatsApp 账户的具体方法仍然未知。”

如果受害者在 Windows 上下载并打开该文件，VBScript 会从攻击者的基础设施获取两个额外的脚本，这些脚本进而通过注册表修改禁用 UAC 保护，并下载一个包含 ManageEngine Endpoint Central 程序的 ZIP 压缩包。

该软件在后台静默安装，并配置为连接到攻击者控制的管理服务器，从而在受害者计算机上授予他们远程管理访问权限。

Kaspersky 指出，当初始 VBScript 文件通过 WhatsApp Web 传递时，必须下载；但当在 WhatsApp Desktop 客户端中打开时，它可以通过 Windows Script Host（wscript.exe）直接执行。

虽然 Kaspersky 未将这些攻击归因于特定的威胁行为者，但研究人员发现了中文使用迹象以及与先前与 ValleyRAT 和 Gh0st RAT 活动相关的 IP 地址存在基础设施重叠。

然而，目前尚无足够证据进行高置信度的归因。

建议 WhatsApp 用户对联系人（甚至是受信任的联系人）发送的文件保持谨慎，并始终通过辅助方式进行验证。

所有下载的文件在执行前应使用最新的防病毒软件进行扫描。

END

阅读推荐

【安全圈】13个字就能投毒AI搜索结果？ChatGPT和Gemini都中招了

【安全圈】FortiBleed曝光：黑客正在收割FortiGate防火墙登录凭证

【安全圈】Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客

【安全圈】西安公安 19 小时打掉世界杯网络赌局

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】WhatsApp 钓鱼攻击利用虚假商务文档入侵 PC》