近日，360數(shù)字安全大腦監(jiān)測到新一輪釣魚攻擊，攻擊者以“發(fā)票.rar”、“工資提升名單.rar”、“回單憑證電腦版.zip”等為名稱，通過即時通訊軟件、郵件等多種方式傳播遠控木馬。攻擊目標為各類公司、企業(yè)、政府機構的財務相關人員，目前已監(jiān)測到數(shù)千用戶被攻擊。攻擊者使用的假發(fā)票頁面，模仿了coremail的正規(guī)頁面，具有很強的迷惑性。

以捕獲到的其中一個木馬為例，該木馬以“發(fā)票.rar”名稱進行傳播，壓縮包內文件包括發(fā)_票.exe、cl32.dll、發(fā)_票.data，屬于典型的“白利用”啟動器木馬，其中“發(fā)_票.exe”屬于文件管理器軟件NexusFile的組件。

而cl32.dll?是用于劫持正規(guī)程序的“木馬加載器”，該木馬加載器通過讀取配置，來執(zhí)行加載器功能。加載器會從hxxp[:]//43.136.40.*:8080/7X/client.dll下載遠控組件并加載執(zhí)行。攻擊者還使用VMProtect對cl32.dll進行了保護。通過對client.dll進行分析，我們確認該遠控為“開闊云遠控”，目前其上線地址與加載器地址相同，該遠控是一款處于開發(fā)階段的“商業(yè)”遠控，常被用來作為攻擊工具。從“官方”介紹頁面可以看到，該遠控有遠控桌面、文件傳輸、遠控語音視頻監(jiān)聽、鍵盤記錄等各類遠程控制功能，能夠實現(xiàn)對目標設備的遠程監(jiān)視與控制，竊取與篡改用戶的機密文件與數(shù)據(jù)。下面代碼，展示了該遠控提供的各類接口：

從釣魚文件命名可以知曉，此次釣魚攻擊的主要目標為企事業(yè)單位的財務相關人員，企業(yè)管理員應加強排查防御，不輕易打開未知安全性文件。此外，企業(yè)管理員可以根據(jù)IOCs信息，通過配置終端安全黑名單，對木馬文件進行查殺；同時，管理員可在企業(yè)安全網(wǎng)關、防火墻、NDR類設備中，添加IOCs黑名單，攔截和查殺該木馬。值得注意的是，360終端安全產(chǎn)品已第一時間對該木馬進行查殺，正確安裝并開啟相關產(chǎn)品的用戶無需擔心，系統(tǒng)將自動隔離處理相關木馬文件。

除了針對性的安全防范，360數(shù)字安全建議廣大政企用戶建立全面的數(shù)字安全防御體系，正確安裝安全防護軟件，以免重要數(shù)據(jù)泄露而產(chǎn)生不可逆的損失。作為數(shù)字安全的領導者，360基于以“看見”為核心的安全運營服務體系，打造了一整套數(shù)字安全防御解決方案，從“云、管、端、地、險”五個維度出發(fā)，利用360本地安全大腦、360 EDR、360NDR等多款安全產(chǎn)品及服務，完整覆蓋事前、事中、事后三個關鍵階段，幫助用戶感知風險、看見威脅、抵御攻擊，實現(xiàn)多方位、全流程、體系化的勒索防護。未來，360將持續(xù)深耕安全防護，助力廣大政企機構構建起體系化安全能力。