近日，安天 CERT 在梳理网络安全事件时发现一个名为 AZORult 的窃密木马。该窃密木马最早在 2016 年 7 月被发现，至今多次更新，主要通过钓鱼邮件和 RIG 漏洞利用工具包进行传播，目的是窃取用户凭据和帐户。

        本次分析样本是通过钓鱼邮件进行传播，邮件附件为带有密码的压缩包，诱导用户手动输入解压密码查看附件，附件解压后释放出一个含有 CVE-2017-11882 Microsoft Office 公式编辑器漏洞的 Office 文档，一旦用户执行便会连接 C2(hxxp://vektorex.com/source/Z/15603887.png) 下载最终载荷 AZORult 窃密木马。该木马运行后将自身添加到注册表实现开机自启动，AZORult 窃密木马的主要功能为窃取银行密码、***、浏览器历史记录以及数字货币等信息，将窃取的信息上传至 C2(hxxp://bixtoj.gq/sc01/index.php)。

        安天 CERT 提醒广大政企客户，应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复，不随意下载非正版的应用软件，注册机等。收发邮件时应确认收发来源是否可靠，不随意点击或者复制邮件中的网址，不轻易下载来源不明的附件，发现网络异常要提高警惕并及时采取应对措施，养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令，如果业务上无需使用远程桌面服务，建议将其关闭。目前，安天追影产品已经实现了对该窃密木马的鉴定；安天智甲已经实现了对该窃密木马的查杀。

本文作者：AntiyLabs

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/161233.html