近日，安天 CERT 在梳理網絡安全事件時發現一個名為 AZORult 的竊密木馬。該竊密木馬最早在 2016 年 7 月被發現，至今多次更新，主要通過釣魚郵件和 RIG 漏洞利用工具包進行傳播，目的是竊取用戶憑據和帳戶。

        本次分析樣本是通過釣魚郵件進行傳播，郵件附件為帶有密碼的壓縮包，誘導用戶手動輸入解壓密碼查看附件，附件解壓后釋放出一個含有 CVE-2017-11882 Microsoft Office 公式編輯器漏洞的 Office 文檔，一旦用戶執行便會連接 C2(hxxp://vektorex.com/source/Z/15603887.png) 下載最終載荷 AZORult 竊密木馬。該木馬運行后將自身添加到注冊表實現開機自啟動，AZORult 竊密木馬的主要功能為竊取銀行密碼、信用卡、瀏覽器歷史記錄以及數字貨幣等信息，將竊取的信息上傳至 C2(hxxp://bixtoj.gq/sc01/index.php)。

        安天 CERT 提醒廣大政企客戶，應提高網絡安全意識。在日常工作中及時進行系統更新和漏洞修復，不隨意下載非正版的應用軟件，注冊機等。收發郵件時應確認收發來源是否可靠，不隨意點擊或者復制郵件中的網址，不輕易下載來源不明的附件，發現網絡異常要提高警惕并及時采取應對措施，養成及時更新操作系統和軟件應用的良好習慣。確保所有的計算機在使用遠程桌面服務時避免使用弱口令，如果業務上無需使用遠程桌面服務，建議將其關閉。目前，安天追影產品已經實現了對該竊密木馬的鑒定；安天智甲已經實現了對該竊密木馬的查殺。