新年伊始商贸信病毒再次活跃 利用宏病毒等窃取企业机密
腾讯御见情报中心最初在 2017年12月份 发现商贸信病毒,该病毒的主要特点是外贸企业进行攻击窃取机密。
病毒传播方式主要使用Word 文档内嵌宏病毒冒充外贸订单诱导企业打开,然后植入更多病毒模块进行控制。
腾讯御见情报中心统计后发现消费电子产品和玩具生产销售企业是重点目标,其次物流和金融行业也被攻击。
伪装的外贸订单钓鱼邮件:
黑客通过网上收集的各大企业公开联系邮箱然后发送外贸订单钓鱼邮件,邮件附件为携带病毒的Word 文档。
文档中本身已经嵌入宏病毒模块所以用户打开时会被微软拦截,但用户依然可以通过手动点击确定继续运行。
也正是如此黑客还在钓鱼邮件中强调用户启用宏功能以查看完整文档、用这种方式来提高病毒感染整体数量。
腾讯统计发现被攻击者主要位于中国大陆 (主要为深圳和广州)、中国香港、中国台湾以及美国和南美等地区。
窃取企业各种机密信息甚至截取屏幕上传:
腾讯御见情报中心对木马进行分析后发现,背后的攻击者试图窃取企业所有机密信息但不会有明显破坏行为。
所以攻击者很可能从事的是商业间谍行为专注窃取机密进行售卖,甚至病毒还会每两分钟截取屏幕进行上传。
如果企业不慎感染该病毒的话则会被时刻监视随时泄露机密信息,给企业的正常生产经营活动带来严重威胁。
专注于窃取各种软件的机密信息:
病毒成功感染后会在后台监视谷歌浏览器、火狐浏览器、SeaMonkey以及Thunderbird 等存储的各种信息。
病毒还会窃取诸如 FileZilla 等FTP软件保存的账号和密码,同时还会监视各种邮件客户端窃取企业机密邮件。
被监视的软件包括:Chrome、Firefox、SeaMonkey、Thunderbird、Postbox、Filezilla、CoreFTP以及:
FTP Navigator、OPERA、YandexBrowser、Apple支持程序、Dragon、Comodo、Foxmail、FlashFXP。
建议企业和普通用户关闭Office宏功能:
绝大多数企业和普通用户用不到宏功能,若企业部分员工或用户需要使用则开启其他用户推荐全部彻底关闭。
彻底禁用宏并不仅仅是阻止宏模块的执行,而且即使在文档存在宏模块的情况下也不会发出任何通知去开启。
禁用后的好处在于所有宏病毒无法运行并且攻击者也不能轻易诱导用户手动去运行宏病毒因此可提高安全性。
Office 所有套件均需要分别设置禁止宏和宏通知,不过操作方法都是相同的因此只需你1分钟时间即可搞定。
1、以Word为例:打开 Word 文档并点击左上角的文件按钮,然后再点击新界面底部的选项进入Word选项:
2、点击信任中心然后点击右侧的信任中心设置即可转到宏功能设置:
3、将宏设置选项改为禁用所有宏且不通知然后点击保存即可,这样即使文档有宏模块默认也阻止且不通知。
Office其他组件的宏设置跟上述流程完全相同,因此请分别打开对应套件然后彻底禁用掉宏功能提高安全性。