近日，安天 CERT 在梳理網(wǎng)絡(luò)安全 事件時發(fā)現(xiàn)了利用魚叉式釣魚郵件傳播 Agent Tesla 竊密木馬活動。該活動主要針 對能源、制造、運輸?shù)刃袠I(yè)。Agent Tesla 是 2014 年公開售賣的竊密木馬，該木馬主 要通過釣魚郵件傳播，目的是竊取用戶敏 感信息。目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了 對該竊密木馬的鑒定；安天智甲已經(jīng)實現(xiàn) 了對該竊密木馬的查殺。

      該活動通過帶有惡意附件的魚叉式 釣魚郵件傳播，一旦用戶運行附件中的 可執(zhí)行文件便會啟動 Agent Tesla 竊密木馬。該木馬執(zhí)行后將自身路徑添加到注 冊 表 HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run 鍵 值下設(shè)置為開機(jī)自啟動。Agent Tesla 運行 后會竊取用戶各種憑證包括 FTP 憑證、 WiFi 登錄憑證、電子郵件憑證、瀏覽器中 存儲的憑證等。除此之外，該木馬還包括 遠(yuǎn)程桌面控制、鍵盤記錄、收集主機(jī)信息、 獲取進(jìn)程路徑、控制攝像頭、獲取屏幕截 圖、復(fù)制剪貼板內(nèi)容、上傳敏感信息文件、 獲取進(jìn)程列表、結(jié)束指定進(jìn)程和下載其他 惡意文件等功能。

      安天 CERT 提醒廣大政企客戶，應(yīng)提 高網(wǎng)絡(luò)安全意識。在日常工作中及時進(jìn)行 系統(tǒng)更新和漏洞修復(fù)，不隨意下載非正版 的應(yīng)用軟件，注冊機(jī)等。收發(fā)郵件時應(yīng)確 認(rèn)收發(fā)來源是否可靠，不隨意點擊或者復(fù) 制郵件中的網(wǎng)址，不輕易下載來源不明的 附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時采 取應(yīng)對措施，養(yǎng)成及時更新操作系統(tǒng)和軟 件應(yīng)用的良好習(xí)慣。確保所有的計算機(jī)在 使用遠(yuǎn)程桌面服務(wù)時避免使用弱口令，如 果業(yè)務(wù)上無需使用遠(yuǎn)程桌面服務(wù)，建議將 其關(guān)閉。