身處外貿行業,收到客戶的採購訂單郵件自然是好事,但也不應高興過早,因為這樣一封“陌生”的郵件也可能是不法駭客進行病毒偽裝的釣魚郵件。11月20日上午,某外貿公司客服小張像往常一樣,開啟公司內部郵箱,發現收到不明人員發來的一封郵件,同時在附件中還包含一個名為“K378-19-SIC-RY - ATHENA REF. AE19-295.gz”的附件。小張解壓附件後,發現電腦裡多了一個Jscript指令碼檔案,進一步點選後釋放出了木馬檔案StealerFile.exe,小張感覺不對勁,向騰訊安全發來求助。
騰訊安全技術專家經過深入溯源分析後,確認小張經歷的是一起典型的針對外貿公司從業者發起的一次定向攻擊。攻擊者向企業聯絡人郵箱批次傳送“採購訂單”,實際附件檔案攜帶病毒。受害者一旦開啟附件,惡意文件便會釋放多個“竊密寄生蟲”木馬,進而控制目標系統,盜取企業機密資訊。
(圖:“竊密寄生蟲”木馬攻擊郵件示例)
小張的事件並不是個例,近期騰訊安全御見威脅情報中心曾監測到多起以竊取機密為目的的釣魚郵件攻擊,因木馬PDB資訊中包含字元“Parasite Stealer”,騰訊安全技術專家將其命名為“竊密寄生蟲”木馬。不法駭客在蒐集大批目標企業聯絡人郵箱後,批次傳送偽裝成“採購訂單”的釣魚郵件。一旦使用者不慎執行附件文件,就會被植入遠控木馬,瀏覽器記錄的登入資訊、Outlook郵箱密碼及其他企業機密資訊,將被不法駭客竊取。
據監測資料統計,此次有數千家企業受到“竊密寄生蟲”木馬攻擊影響,攻擊目標主要集中在貿易服務、製造業和網際網路行業。廣東、北京、上海等地由於經濟發達,外貿企業和網際網路企業相對密集,成為本次攻擊受害較嚴重的區域。
(圖:“竊密寄生蟲”木馬影響行業分佈)
事實上,類似針對外貿行業的魚叉郵件攻擊曾多次發生。例如,2017年12月在全球大範圍爆發的“商貿信”病毒,據騰訊安全御見威脅情報中心監測發現,該病毒利用帶有漏洞攻擊程式碼的Word文件偽裝成採購清單、帳單等檔案,透過郵件在全球外貿行業內大量傳播,導致全球超150萬外貿從業者受到影響,給使用者資訊保安帶來巨大威脅。
儘管釣魚郵件攻擊已經是老套路,但由於誘餌文件十分逼真,仍有大量企業中招。面對來勢洶洶的“竊密寄生蟲”木馬,騰訊安全反病毒實驗室負責人馬勁松提醒企業使用者保持良好的上網習慣,務必小心處理來源不明的郵件。同時儘快修復Office安全漏洞,不啟用陌生檔案中的宏程式碼,避免因為一次開啟文件的操作就淪為不法駭客的受害者;不要輕易開啟陌生郵件;保持騰訊電腦管家等主流防毒軟體實時開啟並執行狀態。企業使用者可使用騰訊御點終端安全管理系統保護網路安全。
(圖:騰訊御點終端安全管理系統)
同時,建議企業使用者選擇使用騰訊御界高階威脅檢測系統防禦病毒攻擊,可輕鬆實現終端防毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,幫助企業管理者全面瞭解、管理企業內網安全狀況、全方位保障企業使用者的網路安全。