騰訊安全：郵件間諜“竊密寄生蟲”木馬為企業(yè)機密而來 外貿行業(yè)需警惕

身處外貿行業(yè)，收到客戶的采購訂單郵件自然是好事，但也不應高興過早，因為這樣一封“陌生”的郵件也可能是不法黑客進行病毒偽裝的釣魚郵件。11月20日上午，某外貿公司客服小張像往常一樣，打開公司內部郵箱，發(fā)現(xiàn)收到不明人員發(fā)來的一封郵件，同時在附件中還包含一個名為“K378-19-SIC-RY - ATHENA REF. AE19-295.gz”的附件。小張解壓附件后，發(fā)現(xiàn)電腦里多了一個Jscript腳本文件，進一步點擊后釋放出了木馬文件StealerFile.exe，小張感覺不對勁，向騰訊安全發(fā)來求助。

騰訊安全技術專家經過深入溯源分析后，確認小張經歷的是一起典型的針對外貿公司從業(yè)者發(fā)起的一次定向攻擊。攻擊者向企業(yè)聯(lián)系人郵箱批量發(fā)送“采購訂單”，實際附件文件攜帶病毒。受害者一旦打開附件，惡意文檔便會釋放多個“竊密寄生蟲”木馬，進而控制目標系統(tǒng)，盜取企業(yè)機密信息。

(圖：“竊密寄生蟲”木馬攻擊郵件示例)

小張的事件并不是個例，近期騰訊安全御見威脅情報中心曾監(jiān)測到多起以竊取機密為目的的釣魚郵件攻擊，因木馬PDB信息中包含字符“Parasite Stealer”，騰訊安全技術專家將其命名為“竊密寄生蟲”木馬。不法黑客在搜集大批目標企業(yè)聯(lián)系人郵箱后，批量發(fā)送偽裝成“采購訂單”的釣魚郵件。一旦用戶不慎運行附件文檔，就會被植入遠控木馬，瀏覽器記錄的登錄信息、Outlook郵箱密碼及其他企業(yè)機密信息，將被不法黑客竊取。

據監(jiān)測數(shù)據統(tǒng)計，此次有數(shù)千家企業(yè)受到“竊密寄生蟲”木馬攻擊影響，攻擊目標主要集中在貿易服務、制造業(yè)和互聯(lián)網行業(yè)。廣東、北京、上海等地由于經濟發(fā)達，外貿企業(yè)和互聯(lián)網企業(yè)相對密集，成為本次攻擊受害較嚴重的區(qū)域。

(圖：“竊密寄生蟲”木馬影響行業(yè)分布)

事實上，類似針對外貿行業(yè)的魚叉郵件攻擊曾多次發(fā)生。例如，2017年12月在全球大范圍爆發(fā)的“商貿信”病毒，據騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn)，該病毒利用帶有漏洞攻擊代碼的Word文檔偽裝成采購清單、帳單等文件，通過郵件在全球外貿行業(yè)內大量傳播，導致全球超150萬外貿從業(yè)者受到影響，給用戶信息安全帶來巨大威脅。

盡管釣魚郵件攻擊已經是老套路，但由于誘餌文檔十分逼真，仍有大量企業(yè)中招。面對來勢洶洶的“竊密寄生蟲”木馬，騰訊安全反病毒實驗室負責人馬勁松提醒企業(yè)用戶保持良好的上網習慣，務必小心處理來源不明的郵件。同時盡快修復Office安全漏洞，不啟用陌生文件中的宏代碼，避免因為一次打開文檔的操作就淪為不法黑客的受害者;不要輕易打開陌生郵件;保持騰訊電腦管家等主流殺毒軟件實時開啟并運行狀態(tài)。企業(yè)用戶可使用騰訊御點終端安全管理系統(tǒng)保護網絡安全。

(圖：騰訊御點終端安全管理系統(tǒng))

同時，建議企業(yè)用戶選擇使用騰訊御界高級威脅檢測系統(tǒng)防御病毒攻擊，可輕松實現(xiàn)終端殺毒統(tǒng)一管控、修復漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，幫助企業(yè)管理者全面了解、管理企業(yè)內網安全狀況、全方位保障企業(yè)用戶的網絡安全。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。