近日，安天 CERT 在梳理網絡安全事 件時發現了利用 COVID-19 為主題的釣魚 郵件傳播 Remcos 遠控木馬活動。該活動 主要針對小型企業、制造企業和會計師事 務所。Remcos 遠控木馬是 2016 年公開售 賣的遠控木馬，該木馬主要通過釣魚郵件 進行傳播，目的是竊取用戶個人信息。

      該活動通過釣魚郵件進行傳播，附件 中包含一個使用誤導性 PDF 圖標的可執 行文件，該可執行文件一旦執行便會啟動 Remcos 遠控木馬。該木馬執行后將自身注入到系統默認瀏覽器中并添加到注冊表。 Remcos 遠控木馬主要功能包括遠程桌面 控制、鍵盤記錄、收集主機信息、獲取進 程路徑、獲取瀏覽器 Cookie 信息、上傳可 能包含敏感信息的文本文件、獲取進程列 表、結束指定進程、獲取屏幕截圖以及打 開 CMD 等。

      安天 CERT 提醒廣大政企客戶，應提 高網絡安全意識。在日常工作中及時進行 系統更新和漏洞修復，不隨意下載非正版 的應用軟件，注冊機等。收發郵件時應確認收發來源是否可靠，不隨意點擊或者復 制郵件中的網址，不輕易下載來源不明的 附件，發現網絡異常要提高警惕并及時采 取應對措施，養成及時更新操作系統和軟 件應用的良好習慣。確保所有的計算機在 使用遠程桌面服務時避免使用弱口令，如 果業務上無需使用遠程桌面服務，建議將 其關閉。

      目前，安天追影產品已經實現了對該 遠控木馬的鑒定；安天智甲已經實現了對 該遠控木馬的查殺。