繼2017 年12月上旬，“商貿(mào)信”病毒在全球范圍大范圍爆發(fā)之后，針對外貿(mào)從業(yè)者的網(wǎng)絡(luò)攻擊活動再次活躍。近日，騰訊安全御見情報中心監(jiān)測發(fā)現(xiàn)，一款名為HawkEye Keylogger的木馬通過郵件大肆傳播。該木馬不再利用Office漏洞CVE-2017-11882，而是利用PowerPoint“動作”特性進行攻擊，并通過攜帶的鍵盤記錄器來盜取用戶郵箱、瀏覽器、比特幣等帳號密碼，對用戶信息財產(chǎn)安全造成極大的威脅。

目前攻擊活動仍在持續(xù)，據(jù)統(tǒng)計國內(nèi)每天有數(shù)千個用戶受到該攻擊影響。騰訊電腦管家已可全面查殺該木馬，建議用戶盡早防范。

根據(jù)騰訊安全御見情報中心監(jiān)測發(fā)現(xiàn)，不法分子利用魚叉式釣魚郵件將帶有惡意代碼的ppsx文件發(fā)送到從網(wǎng)絡(luò)等渠道收集來的郵箱地址，而收件人主要從事外貿(mào)等相關(guān)行業(yè)。據(jù)悉，很多公司會將郵箱作為聯(lián)系方式公布在網(wǎng)上，便于開拓業(yè)務(wù)。目前在網(wǎng)上搜索，仍可以發(fā)現(xiàn)有不少收件人郵箱暴露在公司網(wǎng)站的聯(lián)系人欄目中。

此外，從郵件內(nèi)容來看，主題和內(nèi)文與“商貿(mào)信”釣魚郵件相似，都帶有“賬單”、“訂單”等誘導(dǎo)性字眼，一旦用戶下載運行文件，該ppt會全屏顯示，并彈出“Microsoft PowerPoint安全聲明”窗口，從而誘導(dǎo)用戶點擊“啟用”按鈕，達到運行木馬，竊取用戶電腦重要賬號信息的目的。

經(jīng)過溯源分析，HawkEye Keylogge木馬早在2016年就已出現(xiàn)，目前仍在活躍中。此外，騰訊安全御見情報中心在同一時間捕獲到一款通過釣魚郵件傳播的盜號木馬，通過對木馬域名進行核查發(fā)現(xiàn)，其木馬服務(wù)器后臺架構(gòu)及域名注冊郵箱都與HawkEye Keylogge木馬相同，騰訊安全專家指出兩起攻擊事件或為同一攻擊者所為。

目前，該針對外貿(mào)行業(yè)的木馬攻擊活動仍在活躍中，騰訊電腦管家建議廣大用戶對警惕來歷不明的郵件，并安裝騰訊電腦管家等安全軟件抵御不法分子的攻擊。對于可疑的文件和鏈接，可通過騰訊電腦管家詐騙信息查詢窗口和騰訊哈勃分析系統(tǒng)進行安全檢測。此外，騰訊安全推出了“御界防APT郵件網(wǎng)關(guān)”，幫助企業(yè)級用戶解決惡意郵件的攻擊威脅。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。