木马Formbook屡屡窃取用户重要机密 360安全大脑极智守护铸就铜墙铁壁

近日,360高级威胁研究分析中心,检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动 。经分析,始作俑者是一种叫Formbook的窃密木马,自 2016 年初以来就开始在各种黑客论坛上开始出现销售 。通过伪装为UNIVERSEPROSPERITY的散装邮件,该病毒最近在邮件钓鱼中传播 。迄今为止,数百家国内外企业和个人受到这次攻击的影响,其中有国内大型物流公司 。

【木马Formbook屡屡窃取用户重要机密 360安全大脑极智守护铸就铜墙铁壁】

通过分析相关日志,发现钓鱼邮件中携带的恶意压缩包的名称MVUNIVERSERPERITY.arj 。加载后,MVUNIVERSEPRERITY.arj解密ShellCode代码探索 。shellcode代码检测执行环境(例如虚拟机、沙箱、调整环境等)通过后,将最终载荷Formbook加载执行 。

值得注意的是,Formbook偷窃木马不仅隐藏狡猾,而且危害很大 。FormBook不仅能够进行键盘记录、文本监控、浏览器和电子邮件客户端密码抓取、屏幕截图等一系列隐秘操作,还可以命令和控制服务器接收并执行一系列远程操作 。通过构建FormBook功能的背景进行模拟,分析家发现可以提供的盗窃内容非常丰富,令人吃惊 。

但是,很多用户也不必太担心 。360大脑现在具有浏览器密码保护功能,可以对Formbook这样的秘密木马进行防御和杀戮 。同时,360安全大脑还建议用户:

1、电子邮件:对于来源不明的电子邮件,提高警惕,不要轻易点击其中包含的任何链接、附件,可疑文件不要启用宏代码,如果在打开过程中发现任何警告信息

2、IM聊天工具:对于不知道的聊天对象和聊天组,请打开不要轻易接受或打开发送的文件、链接的文件扩展名称,打开文件前检查文件名称和扩展名称 。

3、安装可靠的安全防护软件,对这种攻击进行全方位的安全检查和防护 。

    推荐阅读