窃密木马Formbook兴风作浪 360安全大脑全天候守护用户安全

近日，360高级威胁研究分析中心，检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动。经分析，始作俑者是一种叫Formbook的窃密木马，自 2016 年初以来就开始在各种黑客论坛上开始出现销售。通过伪装成一艘名为UNIVERSE PROSPERITY的散货邮轮的信息邮件，该病毒于近期大肆进行邮件钓鱼传播。截止目前，已有上百个国内外企业或个人受到此次攻击影响，其中不乏一些国内大型物流公司。

　　通过分析相关日志后发现，钓鱼邮件中所携带的恶意压缩包名称大多为：MV UNIVERSE PROSPERITY.arj。执行加载后，MV UNIVERSE PROSPERITY.arj会解密出一段ShellCode代码进行“探路”。而shellcode代码检测执行环境(如虚拟机、沙箱、调试环境等)通过后，才会将最终的载荷Formbook 加载执行。

　　值得注意的是，Formbook窃密木马不仅隐蔽狡猾，而且危害巨大。FormBook不仅能够进行键盘记录、文本监控、浏览器和电子邮件客户端密码抓取、屏幕截图等一系列隐秘操作，还可以命令和控制服务器接收并执行一系列远程操作。通过搭建FormBook功能后台进行模拟，分析人员发现其可提供的窃取内容非常丰富，堪称触目惊心。

　　不过，广大用户也无需过度担心，360大脑目前已带有浏览器密码防护功能，可以针对性地防御和查杀类似Formbook这样的窃密木马。与此同时，360安全大脑还建议用户：

　　1、电子邮件：对于来路不明的电子邮件，提高警惕，不要轻易点击打开其中包含的任何链接、附件;可疑文档勿启用宏代码，如打开过程发现任何警告信息，及时阻止，不要点击忽略或允许。

　　2、 IM聊天工具：对于不认识的聊天对象或者聊天群，不要轻易接收或打开其发送的任何文件、链接;开启文件扩展名显示，打开文件前检查文件名和扩展名。

　　3、安装可靠的安全防护软件对此类攻击进行全方位的安全检测和防护。

来源中华网