近日，安天 CERT 在梳理網絡安全事件時發現了利用 COVID-19 為主題的釣魚郵件傳播 AbSent 竊密木馬活動。AbSent是一款具有反調試、反虛擬機和反沙箱檢測的竊密木馬。該竊密木馬主要通過釣魚郵件進行傳播，目的是竊取用戶個人信息。

      該活動通過釣魚郵件進行傳播，附件中包含一個偽造成文檔的可執行文件，該可執行文件一旦執行便會連接 C2 下載并運行 AbSent 竊密木馬，該竊密木馬將自身復制到％ TEMP％路徑下并重命名為winsvchost.exe，創建計劃任務達到持久性的目的。AbSent 竊密木馬每 15 分鐘與 C2進行一次連接保持心跳。AbSent 竊密木馬主要功能包括遠程桌面控制、鍵盤記錄、收集主機信息、獲取進程路徑、獲取瀏覽器 Cookie 信息、上傳可能包含敏感信息的文本文件、獲取進程列表、結束指定進程、獲取屏幕截圖以及打開 CMD 等。

      安天 CERT 提醒廣大政企客戶，應提高網絡安全意識。在日常工作中及時進行系統更新和漏洞修復，不隨意下載非正版的應用軟件，注冊機等。收發郵件時應確認收發來源是否可靠，不隨意點擊或者復制郵件中的網址，不輕易下載來源不明的附件，發現網絡異常要提高警惕并及時采取應對措施，養成及時更新操作系統和軟件應用的良好習慣。確保所有的計算機在使用遠程桌面服務時避免使用弱口令，如果業務上無需使用遠程桌面服務，建議將其關閉。

      目前，安天追影產品已經實現了對該竊密木馬的鑒定；安天智甲已經實現了對該竊密木馬的查殺。