继2017 年12月上旬,“商贸信”病毒在全球范围大范围爆发之后,针对外贸从业者的网络攻击活动再次活跃。近日,腾讯安全御见情报中心监测发现,一款名为HawkEye Keylogger的木马通过邮件大肆传播。该木马不再利用Office漏洞CVE-2017-11882,而是利用PowerPoint“动作”特性进行攻击,并通过携带的键盘记录器来盗取用户邮箱、浏览器、比特币等账号密码,对用户信息财产安全造成极大的威胁。
目前攻击活动仍在持续,据统计国内每天有数千个用户受到该攻击影响。腾讯电脑管家已可全面查杀该木马,建议用户尽早防范。
根据腾讯安全御见情报中心监测发现,不法分子利用鱼叉式钓鱼邮件将带有恶意代码的ppsx文件发送到从网络等渠道收集来的邮箱地址,而收件人主要从事外贸等相关行业。据悉,很多公司会将邮箱作为联系方式公布在网上,便于开拓业务。目前在网上搜索,仍可以发现有不少收件人邮箱暴露在公司网站的联系人栏目中。
此外,从邮件内容来看,主题和内文与“商贸信”钓鱼邮件相似,都带有“账单”、“订单”等诱导性字眼,一旦用户下载运行文件,该ppt会全屏显示,并弹出“Microsoft PowerPoint安全声明”窗口,从而诱导用户点击“启用”按钮,达到运行木马,窃取用户电脑重要账号信息的目的。
经过溯源分析,HawkEye Keylogge木马早在2016年就已出现,目前仍在活跃中。此外,腾讯安全御见情报中心在同一时间捕获到一款通过钓鱼邮件传播的盗号木马,通过对木马域名进行核查发现,其木马服务器后台架构及域名注册邮箱都与HawkEye Keylogge木马相同,腾讯安全专家指出两起攻击事件或为同一攻击者所为。
目前,该针对外贸行业的木马攻击活动仍在活跃中,腾讯电脑管家建议广大用户对警惕来历不明的邮件,并安装腾讯电脑管家等安全软件抵御不法分子的攻击。对于可疑的文件和链接,可通过腾讯电脑管家诈骗信息查询窗口和腾讯哈勃分析系统进行安全检测。此外,腾讯安全推出了“御界防APT邮件网关”,帮助企业级用户解决恶意邮件的攻击威胁。