郵箱收到律師函，一看LOGO就信以為真，趕緊點開郵件附件，沒想到公司機密信息卻被盜了!

圖：偽裝成法律訴訟文件的釣魚郵件

近日，瑞星威脅情報中心捕獲到國內(nèi)企業(yè)被投遞竊密木馬的釣魚攻擊活動，通過分析發(fā)現(xiàn)，攻擊者所投遞的木馬為FormBook 4.1版本，能夠竊取瀏覽器、郵箱等敏感信息，同時具備遠(yuǎn)程控制功能，具有很強的威脅性，瑞星在此提醒廣大企業(yè)應(yīng)加強防范。

偽裝成商業(yè)往來郵件，利用真實LOGO來釣魚

瑞星安全專家介紹，攻擊者一般會以撒網(wǎng)式向企業(yè)員工或高層發(fā)送偽裝成商業(yè)往來的釣魚郵件，以誘導(dǎo)受害者點擊，此次攻擊也不例外。通過分析發(fā)現(xiàn)，在本次釣魚郵件攻擊中，攻擊者偽造了虛假的法律訴訟文件和采購訂單，發(fā)送給目標(biāo)企業(yè)的多位高管人員，以此來吸引目標(biāo)點擊釣魚郵件附件。

圖：偽裝成采購單的釣魚郵件

如果仔細(xì)甄別的話可以看出，在偽裝成法律訴訟的釣魚郵件中，郵件正文的律所LOGO與郵件標(biāo)題、發(fā)件人并不相同，這家律所是真實存在的，LOGO也是正確的，但發(fā)件人地址卻是攻擊者的，其目的就是為了假冒成真實的律所來騙取目標(biāo)的信任，誘導(dǎo)點擊郵件附件。

專為企業(yè)高管定制的商業(yè)竊密木馬

附件中嵌入了目前非常流行的一種商業(yè)竊密木馬，名為“FormBook”，該木馬程序自2016年開始，便在黑客論壇上以MaaS(惡意軟件即服務(wù))的形式出售，至今保持著活躍狀態(tài)，通常被攻擊者以廣撒網(wǎng)的方式進行釣魚郵件攻擊，同時也存在高價值目標(biāo)的“定制化”攻擊，如企業(yè)、組織高管等。該木馬程序版本不斷迭代更新，在此次攻擊的釣魚郵件中，攻擊者所使用的就是FormBook 4.1版本。

FormBook 4.1版本主要是用于竊取目標(biāo)系統(tǒng)中瀏覽器、郵箱客戶端、Windows Vault(憑據(jù)保管庫)等敏感信息，同時還具備遠(yuǎn)程控制能力，包括鍵盤記錄、屏幕截圖、下載執(zhí)行、數(shù)據(jù)回傳等功能。

圖：攻擊流程

企業(yè)用戶應(yīng)提高警惕，加強防范

瑞星安全專家表示，F(xiàn)ormBook這類竊密木馬專門用來竊取商業(yè)機密、數(shù)據(jù)、資產(chǎn)文件等重要機密信息，會給企業(yè)帶來極大的危害，因此廣大用戶應(yīng)提高警惕，加強防范，做到以下幾點：

1. 不打開可疑文件。

不打開未知來源的可疑的文件和郵件，防止社會工程學(xué)和釣魚攻擊。

2. 部署EDR、NDR產(chǎn)品。

利用威脅情報追溯威脅行為軌跡，進行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點，以便更快響應(yīng)和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。

圖：瑞星ESM防病毒終端安全防護系統(tǒng)可查殺FormBook木馬程序

4. 及時修補系統(tǒng)補丁和重要軟件的補丁。

許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來進行傳播，及時安裝補丁將有效減少漏洞攻擊帶來的影響。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）