WhatsApp VBScript 活动分发 RMM 远程访问恶意软件

执行摘要

一场大规模的恶意软件活动正在通过WhatsApp直接消息分发恶意VBScript文件，最终安装合法的远程监控和管理（RMM）软件，使攻击者能够持续远程访问受害者的系统。卡巴斯基研究人员在2026年6月记录了这场活动，注意到它已经影响了至少12个国家的用户——马来西亚的受害者最为集中——并且在发布时仍在进行中。

感染链不需要漏洞利用；它完全依赖于社会工程学。攻击者发送.vbs或.vbe文件，伪装成发票、债务通知、银行对账单和其他财务文件。当收件人在WhatsApp桌面或WhatsApp网页版双击附件时，Windows脚本宿主（WScript.exe）执行脚本，然后下载并运行额外的VBScript组件，禁用用户账户控制（UAC），最终安装UEMS RMM代理。这场活动主要针对WhatsApp桌面和WhatsApp网页版用户；根据卡巴斯基的说法，攻击者如何破坏WhatsApp账户以分发恶意软件的确切方法仍然未知。

技术分析

卡巴斯基在2026年6月22日发布的分析详细描述了一个三阶段的感染链。第一阶段开始于用户在WhatsApp桌面打开VBS附件。遥测显示WScript.exe直接由WhatsApp.Root.exe生成，命令行引用存储在WhatsApp桌面本地传输目录中的附件：

"C:\Windows\System32\WScript.exe" "C:\Users\<username>\AppData\Local\Packages\5319275A.WhatsAppDesktop_cv1g1gvanyjgm\LocalState\Sessions\<session_identifier>\Transfers\<YYYY-MM>\financial reports(s).vbs"

在WhatsApp网页版上，如果用户从下载文件夹打开下载的文件，则通过explorer.exe执行；或者通过浏览器进程执行。

第二阶段涉及初始VBScript检索和执行二级VBScript有效载荷。一个变体修改Windows注册表设置以降低UAC保护，减少后续安装触发提升提示的可能性。另一个变体下载包含额外脚本的ZIP存档并提取它们以供执行。

第三阶段安装了一个合法的UEMS RMM代理，该代理与攻击者控制的服务器通信。RMM软件提供了完整的远程桌面控制、文件传输和命令执行功能。由于RMM工具是一个合法的商业产品，它可能会逃避信任签名或已知良好二进制文件的端点保护的检测。

卡巴斯基观察到，VBScript样本包含大量用中文注释，涉及Windows更新组件、证书验证和系统完整性检查——可能是为了误导分析师或绕过自动化沙箱检测。文件名被本地化为葡萄牙语、法语、德语和马来语，表明这场活动针对特定地区量身定制诱饵。

入侵指标

卡巴斯基发布了在活动中观察到的文件名列表。这些是代表性样本；实际集合可能更大：

• Financial Reports.vbs
• Debt confirmation.vbs
• Statement of Debt(30K).vbs
• Outstanding Payment List.vbs
• Account Statement.vbs
• Debt Statement.vbs
• Billing Statement (2).vbs
• Promissory_Note(b).vbs
• Extrato de Conciliação.vbs (葡萄牙语)
• Aviso de dívida.vbs (葡萄牙语)
• Le formulaire de demande le plus récent.vbs (法语)
• Bitte füllen Sie das Formular für Umsatzsteuer-Nullsatz-Verkäufe aus.vbs (德语)
• Penyata bank.vbs (马来语)
• Sila semak bil anda.vbs (马来语)

卡巴斯基的完整IOCs，包括攻击者控制的UEMS服务器IP地址和域名，在原始Securelist帖子中可用。

战术、技术与程序

这场活动采用了直接但有效的TTP链：

• 初始访问 (T1566.003)： 通过第三方消息服务进行网络钓鱼——作为WhatsApp附件发送的VBS文件。
• 执行 (T1204.002)： 用户双击附件，触发WScript.exe。
• 防御绕过 (T1112)： 修改注册表以禁用UAC。
• 防御绕过 (T1036.005)： 文件名伪装成财务文件；脚本注释