近日，安天 CERT 在梳理網絡安全事 件時發現一個名為 Astaroth 的竊密木馬。 該竊密木馬最早在 2017 年底被發現，主要 通過釣魚郵件進行傳播，目標是竊取歐洲 和巴西用戶的個人信息和其主機的系統信 息。

      當用戶點擊郵件附件中.lnk快捷方式文件 時，該惡意代碼將運行WMIC(Windows管理命令行工具)程序下載一個包含混淆JavaScript腳本的XSL文件。該JavaScript 腳 本 通 過 執 行 Bitsadmin( 命 令 行 工 具 ) 程 序 下 載 四 個 Base64 編碼的 DLL 文件，使用 Certutil 工 具 ( 證書服務安裝命令程序 ) 對這些文件進行解碼操作，使用 Regsvr32 加載前三個 DLL 文件，并將第四個 DLL 文件（Astaroth 竊密木馬主程序）注入到 Userinit 進程中。

      Astaroth 竊密木馬主要功能包括鍵盤 記錄、剪貼板記錄、監控密鑰狀態、監控 IE 瀏覽器以及竊取計算機的初始信息（包 括相關網絡、區域設置和鍵盤語言以及感 染機器的位置）。Astaroth 竊密木馬專門 針對 IE 瀏覽器。當用戶使用 IE 瀏覽器訪 問銀行或企業網站時，開啟鍵盤記錄功能， 竊取用戶登錄憑證、賬號密碼等信息。

      安天 CERT 提醒廣大政企客戶，應提 高網絡安全意識。在日常工作中及時進行 系統更新和漏洞修復，不隨意下載非正版的應用軟件，注冊機等。收發郵件時應確 認收發來源是否可靠，不隨意點擊或者復 制郵件中的網址，不輕易下載來源不明的 附件，發現網絡異常要提高警惕并及時采 取應對措施，養成及時更新操作系統和軟 件應用的良好習慣。確保所有的計算機在 使用遠程桌面服務時避免使用弱口令，如 果業務上無需使用遠程桌面服務，建議將 其關閉。

      目前，安天追影產品已經實現了對該 竊密木馬的鑒定；安天智甲已經實現了對 該竊密木馬的查殺。