竊密木馬Formbook興風(fēng)作浪 360安全大腦全天候守護(hù)用戶安全

　　近日，360高級(jí)威脅研究分析中心，檢測到一批疑似針對(duì)外貿(mào)等相關(guān)企業(yè)人員的釣魚攻擊活動(dòng)。經(jīng)分析，始作俑者是一種叫Formbook的竊密木馬，自 2016 年初以來就開始在各種黑客論壇上開始出現(xiàn)銷售。通過偽裝成一艘名為UNIVERSE PROSPERITY的散貨郵輪的信息郵件，該病毒于近期大肆進(jìn)行郵件釣魚傳播。截止目前，已有上百個(gè)國內(nèi)外企業(yè)或個(gè)人受到此次攻擊影響，其中不乏一些國內(nèi)大型物流公司。

　　通過分析相關(guān)日志后發(fā)現(xiàn)，釣魚郵件中所攜帶的惡意壓縮包名稱大多為：MV UNIVERSE PROSPERITY.arj。執(zhí)行加載后，MV UNIVERSE PROSPERITY.arj會(huì)解密出一段ShellCode代碼進(jìn)行“探路”。而shellcode代碼檢測執(zhí)行環(huán)境(如虛擬機(jī)、沙箱、調(diào)試環(huán)境等)通過后，才會(huì)將最終的載荷Formbook 加載執(zhí)行。

　　值得注意的是，F(xiàn)ormbook竊密木馬不僅隱蔽狡猾，而且危害巨大。FormBook不僅能夠進(jìn)行鍵盤記錄、文本監(jiān)控、瀏覽器和電子郵件客戶端密碼抓取、屏幕截圖等一系列隱秘操作，還可以命令和控制服務(wù)器接收并執(zhí)行一系列遠(yuǎn)程操作。通過搭建FormBook功能后臺(tái)進(jìn)行模擬，分析人員發(fā)現(xiàn)其可提供的竊取內(nèi)容非常豐富，堪稱觸目驚心。

　　不過，廣大用戶也無需過度擔(dān)心，360大腦目前已帶有瀏覽器密碼防護(hù)功能，可以針對(duì)性地防御和查殺類似Formbook這樣的竊密木馬。與此同時(shí)，360安全大腦還建議用戶：

　　1、 電子郵件：對(duì)于來路不明的電子郵件，提高警惕，不要輕易點(diǎn)擊打開其中包含的任何鏈接、附件;可疑文檔勿啟用宏代碼，如打開過程發(fā)現(xiàn)任何警告信息，及時(shí)阻止，不要點(diǎn)擊忽略或允許。

　　2、 IM聊天工具：對(duì)于不認(rèn)識(shí)的聊天對(duì)象或者聊天群，不要輕易接收或打開其發(fā)送的任何文件、鏈接;開啟文件擴(kuò)展名顯示，打開文件前檢查文件名和擴(kuò)展名。

　　3、安裝可靠的安全防護(hù)軟件對(duì)此類攻擊進(jìn)行全方位的安全檢測和防護(hù)。