年關需警惕！商業間諜木馬AZORult通過條碼列印軟體傳播竊密

近期，騰訊安全威脅情報中心接到某公司網管發來的求助，稱從非官方渠道下載了條碼標籤列印軟體後，使用啟用工具patcher.exe進行啟用破解時，發現惡意程式關閉了系統的安全防護功能。

（圖：條碼列印軟體（LABEL MATRIX）啟用工具）

騰訊安全進而檢測發現，AZORult商業間諜木馬在國內傳播升級，該病毒主要通過條碼列印軟體啟用工具進行“水坑”攻擊，會聯網下載商業間諜木馬，被攻擊後將導致相關單位遭受嚴重損失。目前，騰訊電腦管家、騰訊T-Sec 終端安全管理系統（騰訊御點）均可攔截並查殺該病毒，同時提醒廣大企業使用者年底不應掉以輕心，強化內網安全以防中招。

（圖：騰訊T-Sec 終端安全管理系統）

據騰訊安全威脅情報中心檢測資料統計，此次有多家企業受到AZORult商業間諜木馬攻擊影響，上海、江蘇、廣東、湖北等地，成為本次攻擊受害較嚴重的區域。不法黑客瞄準製造業、商業公司最普遍使用的條碼列印軟體下手，導致木馬影響相關製造、流通領域，以及使用二維碼收付款業務的商戶門店等，對企業的網路安全構成嚴重威脅。

據騰訊安全專家介紹，AZORult商業間諜木馬善於偽裝，關閉系統安全防護功能，令普通使用者難覓蹤跡。一旦入侵成功，即可獲得對目標電腦的完全控制權，掃描受害者的環境，竊取登入密碼、Cookie、瀏覽歷史記錄等個人資訊。同時，還會嘗試從大量程式中獲取賬號密碼等敏感資訊，並關閉中毒系統的安全防護功能，危害極大。

應用水坑攻擊是AZORult商業間諜木馬大肆蔓延的重要原因之一。如同埋伏在水坑旁等待前來喝水的獵物一樣，資訊保安領域的水坑攻擊，是APT攻擊的一種常用手段，不法黑客通過分析被攻擊者的網路活動規律，尋找被攻擊者經常訪問的網站弱點，入侵這些防禦措施相對薄弱的伺服器並植入惡意程式，當使用者訪問了這些網站，就會遭受感染。

而在本次AZORult商業間諜木馬攻擊事件中，攻擊者首先通過入侵條碼列印軟體啟用類工具，隨後利用這些工具發起水坑攻擊。當使用者下載條碼標籤列印軟體，對軟體進行啟用破解時，就會通過Powershell命令從遠端伺服器下載勒索軟體。如果此時使用者缺乏足夠的安全意識，點選執行下載的檔案就會遭受AZORult木馬的攻擊。

年關將至不少病毒開始趁亂作惡，為更好地遏制AZORult商業間諜木馬帶來的擴散態勢，騰訊安全反病毒實驗室負責人馬勁鬆建議廣大企業網路管理員，統一使用正版軟體，避免通過破解工具進行啟用；同時，建議企業使用者選擇使用騰訊T-Sec 高階威脅檢測系統（騰訊御界）檢測未知黑客的各種可疑攻擊行為，全方位保障企業自身的網路安全。

（圖：T-Sec 高階威脅檢測系統）